Die unterschätzten Risiken von Spam- und Quarantäneordnern
Eine E-Mail-Quarantäne gilt in vielen Unternehmen als selbstverständlicher Bestandteil der IT-Sicherheit. Was auf den ersten Blick wie eine sinnvolle Schutzmaßnahme aussieht, birgt in der Praxis erhebliche rechtliche Risiken. Ein Urteil des Bundesgerichtshofs macht klar, dass Unternehmen die Konsequenzen einer E-Mail-Quarantäne neu bewerten sollten.
E-Mails im Quarantäneordner gelten als zugestellt
Der Bundesgerichtshof (BGH) hat am 06.10.2022 (Az. VII ZR 895/21) ein Urteil gefällt, das klarstellt, wann eine E-Mail im unternehmerischen Geschäftsverkehr als zugegangen gilt. Der BGH entschied, dass E-Mails, die innerhalb der üblichen Geschäftszeiten auf dem E-Mail-Server des Empfängers zum Abruf bereitgestellt werden, dem Empfänger ab diesem Zeitpunkt als zugestellt gelten. Wichtig: Dies schließt auch Spam- und Quarantäne-Ordner ein, und auf einen tatsächlichen Abruf der E-Mail oder eine Kenntnisnahme komme es nicht an.
Das bedeutet konkret: Eine Rechnung, eine Fristsetzung oder ein Vertragsangebot, das im Quarantäneordner landet und dort unbemerkt bleibt, gilt dennoch als rechtswirksam zugegangen – mit allen daraus folgenden Konsequenzen.
Der konkrete Fall
In der Entscheidung des BGH ging es um die Frage, ob die Parteien nach einer Auseinandersetzung über eine Werklohnforderung einen wirksamen Vergleichsvertrag geschlossen hatten. Die Klägerin machte der Beklagten an einem Freitag per E-Mail ein Vergleichsangebot, erklärte dann aber etwa 45 Minuten später in einer weiteren E-Mail, dass eine abschließende Prüfung der Forderungshöhe noch nicht erfolgt sei und die erste E-Mail unberücksichtigt bleiben müsse. Die beklagte Partei zahlte wenig später den ursprünglichen Vergleichsbetrag. Die Klage auf den Differenzbetrag scheiterte, denn das erste Angebot war bereits wirksam zugegangen, bevor der Widerruf eintraf.
Der E-Mail-Server ist Machtbereich des Empfängers
Der Erklärende soll das „Risiko des Weges“ tragen, also das Risiko, dass seine Erklärung den Machtbereich des Empfängers nicht erreicht. Mit dem Übergang der Erklärung in den Machtbereich des Empfängers verschiebt sich das „Risiko der Kenntnisnahme” zu dessen Lasten. Aus diesem Grund stellt die Rechtsprechung gerade nicht auf die tatsächliche Kenntnisnahme durch den Empfänger ab.
Als „Machtbereich“ kann der E-Mail-Server des Empfängers jedoch nur dann angesehen werden, wenn der Empfänger durch Veröffentlichung der E-Mail-Adresse oder sonstige Erklärungen im Geschäftsverkehr zum Ausdruck bringt, Rechtsgeschäfte mittels elektronischer Erklärungen in Form von E-Mails abzuschließen. Wer also eine geschäftliche E-Mail-Adresse betreibt und kommuniziert, übernimmt damit automatisch die Verantwortung für alle dort eingehenden Nachrichten, einschließlich derjenigen im Quarantäneordner.
Die praktische Relevanz für Unternehmen ist enorm: Unternehmer sollten während der üblichen Geschäftszeiten mehrfach nicht nur den Posteingang, sondern auch den Spam-Ordner kontrollieren.
Ein weiterer Fall in Österreich
Die rechtliche Problematik beschränkt sich nicht auf Deutschland. Der Oberste Gerichtshof Österreichs (OGH) hat in einer Entscheidung (3 Ob 224/18i) festgehalten, dass der Spam-Ordner überprüft werden muss und rechtlich relevante Unterlagen auch dann als empfangen gelten, wenn sie im Spam-Ordner landen. Auch das Landgericht Bonn hatte bereits 2014 entschieden, dass es eine schuldhafte Pflichtverletzung darstellen kann, wenn der Spam-Ordner nicht täglich kontrolliert wird.
Die Verantwortung liegt beim Empfänger
Da der Absender keine Kontrolle darüber hat, ob und welchen E-Mail-Schutz der Empfänger einsetzt, liegt es ausschließlich in dessen Verantwortung, Spam- und Quarantäneordner zu überprüfen. Hinzu kommt ein weiteres prozessrechtliches Risiko: Auch genügt es nicht, dass die E-Mail im E-Mail-Programm des Erklärenden in dem Ordner „Gesendete Nachrichten“ angezeigt wird. Im Streitfall muss der Absender den tatsächlichen Eingang auf dem E-Mail-Server des Empfängers nachweisen – eine technisch aufwändige Anforderung.
Betrieblicher Aufwand und technische Schwächen
Neben den rechtlichen Konsequenzen sind Quarantänelösungen auch operativ problematisch. Die Überwachung und Pflege des Spam-Ordners kosten Zeit und Ressourcen, die an anderer Stelle sicher besser eingesetzt wären. Wer dann aus Gemütlichkeit oder in Eile mal schnell alle Inhalte löscht, löscht eventuell wichtige E-Mails.
Technisch bietet die Quarantäne zudem keinen vollständigen Schutz: E-Mails, die in den Spam-Ordnern der einzelnen Anwender liegen, lassen sich häufig weiterhin öffnen, und schadhafte Links lassen sich weiterhin anklicken. Das bedeutet, dass auch nach Filterung der eingehenden E-Mails eine Gefahr besteht.
Abwehren statt sortieren
NoSpamProxy arbeitet ohne Spam- und Quarantäneordner. Im Gegensatz zu anderen Lösungen wehrt NoSpamProxy Spam-E-Mails ab, so dass diese E-Mails gar nicht erst angenommen werden. Mit anderen Worten: Diese E-Mails gelangen nicht in den Machtbereich des Empfängers und können ihre rechtliche Wirkung nicht entfalten. Da abgewehrte E-Mails nicht als zugestellt betrachtet werden, umgehen Unternehmen mit NoSpamProxy die möglichen rechtlichen Konsequenzen, die sich aus der alleinigen Zustellung einer E-Mail ergeben können.
Wenn NoSpamProxy eine E-Mail wegen Spam- oder Virusverdacht ablehnt, wird der Absender der E-Mail von seinem eigenen E-Mail-Server über die Ablehnung informiert. Die E-Mail muss dann erneut zugestellt werden. Der Empfänger hat keine Möglichkeit, an den Inhalt der abgelehnten E-Mail zu kommen, weil sie zu keinem Zeitpunkt vollständig angenommen wurde.
Quarantäne ist ein Risiko
Die Rechtsprechung des BGH ist eindeutig: Quarantäneordner entbinden Unternehmen nicht von der Pflicht, eingegangene E-Mails zur Kenntnis zu nehmen. Wer diese Ordner nicht lückenlos überwacht, setzt sich erheblichen rechtlichen Risiken aus, von verpassten Vertragsfristen bis hin zu unbemerkt angenommenen Vergleichsangeboten. In Kombination mit dem operativen Aufwand und den technischen Schwächen der Quarantäne zeigt sich: Eine Quarantäne löst keine Probleme, sie erschafft neue.
Die wichtigsten Fragen zur E-Mail-Quarantäne im Überblick
Gelten E-Mails im Spam- oder Quarantäneordner als zugestellt?
Ja. E-Mails gelten laut BGH als zugestellt, sobald sie während der Geschäftszeiten auf dem Mailserver des Empfängers eingehen. Das gilt auch für Spam- und Quarantäneordner – unabhängig davon, ob die E-Mail gelesen wurde.
Muss ein Unternehmen den Spam-Ordner regelmäßig prüfen?
Ja. Unternehmen sind verpflichtet, Spam- und Quarantäneordner regelmäßig zu kontrollieren. Rechtlich relevante E-Mails können dort eingehen und gelten trotzdem als zugestellt – auch ohne Kenntnisnahme.
Welche Risiken entstehen durch ungeprüfte Spam-Ordner?
Ungeprüfte Spam-Ordner können zu verpassten Fristen, ungewollten Vertragsabschlüssen und rechtlichen Nachteilen führen. Da E-Mails als zugestellt gelten, entstehen Haftungsrisiken – selbst wenn die Nachricht nie gelesen wurde.
Wer trägt die Verantwortung für übersehene E-Mails?
Der Empfänger trägt die volle Verantwortung. Sobald eine E-Mail den Mailserver erreicht, liegt sie im sogenannten Machtbereich des Unternehmens. Das Risiko der Nichtkenntnis trägt damit der Empfänger.
Reicht der „Gesendet“-Ordner als Nachweis für den Versand?
Nein. Der „Gesendet“-Ordner reicht nicht als Beweis aus. Im Streitfall muss der Absender nachweisen, dass die E-Mail tatsächlich auf dem Mailserver des Empfängers eingegangen ist.
Wie sicher sind Quarantäne- und Spam-Filter wirklich?
Quarantäne- und Spam-Filter bieten nur begrenzte Sicherheit. Sie sortieren E-Mails, verhindern aber weder rechtliche Zustellung noch alle Sicherheitsrisiken wie Phishing oder Malware vollständig.
Gibt es eine Alternative zur E-Mail-Quarantäne?
Ja. Moderne Ansätze setzen auf das Ablehnen verdächtiger E-Mails vor der Annahme („Reject statt Quarantine“). Dadurch gelangen diese Nachrichten gar nicht erst auf den Mailserver des Empfängers.
Gilt diese Rechtslage nur in Deutschland?
Nein. Auch in anderen Ländern wie Österreich gibt es ähnliche Urteile. Dort wurde ebenfalls entschieden, dass Spam-Ordner regelmäßig geprüft werden müssen und E-Mails als zugestellt gelten können.
Noch kein NoSpamProxy im Einsatz?
Wehren Sie jetzt E-Mails ab, anstatt Sie in eine unübersichtliche Quarantäne zu verschieben. Testen Sie den Spamfilter NoSpamProxy Protection jetzt 30 Tage kostenfrei.
