kryptoschaden.de

Innerhalb von 90 Minuten löst ein Betrüger 41 Überweisungen aus — 200.000 Euro verschwinden, das Fraud-Monitoring der Bank schlägt nicht an. Das Oberlandesgericht Linz hat dieses Szenario im April 2026 zum Gegenstand eines wegweisenden Haftungsurteils gemacht: Die Bank trägt 50 Prozent des Schadens, weil ihr Transaktionsüberwachungssystem organisatorisch versagt hatte. Für deutsche Gerichte ist die Argumentation unmittelbar übertragbar — über § 675u BGB, § 280 Abs. 1 BGB und, entscheidend, über § 25h Abs. 2 KWG i.V.m. § 823 Abs. 2 BGB. § 25h KWG verpflichtet Kreditinstitute zum Betrieb und zur laufenden Aktualisierung von Datenverarbeitungssystemen, die ungewöhnliche oder wirtschaftlich sinnlose Transaktionen erkennen. Ob diese Norm als Schutzgesetz zugunsten individueller Bankkunden wirkt, ist die zentrale Haftungsfrage der deutschen Bankrechts-Praxis 2025/2026. Die h.M. der Instanzgerichte — darunter Koblenz, Braunschweig und Nürnberg — bejaht dies. Hinzu kommt: Die BaFin hat eine neue IT-Inspektionseinheit angekündigt, die gezielt prüft, wie gut Finanzinstitute auf KI-gestützte Cyberrisiken vorbereitet sind. Was der Aufsicht 2026 als unzureichend gilt, begründet zivilrechtlich ab demselben Moment eine erhöhte Haftungserwartung. Der Schadensersatzanspruch geschädigter Kontoinhaber ist greifbarer als viele Banken und Opfer ahnen.

Ist § 25h KWG ein Schutzgesetz im Sinne von § 823 Abs. 2 BGB?

Die herrschende Meinung der Instanzgerichte bejaht dies: § 25h Abs. 2 KWG verpflichtet Kreditinstitute zum Betrieb funktionaler Monitoring-Systeme zum Schutz vor strafbaren Handlungen — und damit auch zum Schutz der Vermögensinteressen individueller Kontoinhaber. Ein Verstoß löst Schadensersatz nach § 823 Abs. 2 BGB aus, ohne dass ein Vertrag mit der beklagten Bank erforderlich ist.

Der Streit über den Schutzgesetzcharakter des § 25h KWG ist nicht akademisch. Er entscheidet darüber, ob Betrugsopfer, die keinen direkten Vertrag mit der Empfängerbank haben, dennoch Schadensersatz verlangen können — ohne den Umweg über § 280 Abs. 1 BGB, der ein Schuldverhältnis voraussetzt. Beim Social-Engineering-Betrug über mehrere Institute hinweg und bei Pig-Butchering-Strukturen ist die Empfängerbank häufig nicht die kontoführende Bank des Opfers, sondern das erste Glied einer Weiterleitungskette.

§ 823 Abs. 2 BGB setzt voraus, dass die verletzte Norm den Schutz eines anderen bezweckt. Der Wortlaut des § 25h Abs. 2 KWG lautet: Kreditinstitute haben Datenverarbeitungssysteme zu betreiben und zu aktualisieren, mittels derer sie Geschäftsbeziehungen und einzelne Transaktionen erkennen können, die auf Grund des verfügbaren Erfahrungswissens über Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen im Verhältnis zu vergleichbaren Fällen besonders komplex oder groß sind, ungewöhnlich ablaufen oder ohne offensichtlichen wirtschaftlichen oder rechtmäßigen Zweck erfolgen. Ergänzend normiert § 25h Abs. 3 KWG die Pflicht zur Untersuchung und Dokumentation solcher Transaktionen sowie zur Prüfung einer Strafanzeige nach § 158 StPO.

Die instanzgerichtliche Mehrheitsmeinung — mit Leitentscheidungen aus Koblenz, Braunschweig und Nürnberg — leitet aus dem Normzweck des § 25h KWG ab, dass die Überwachungspflicht nicht allein systemisches Risiko (Geldwäscheprävention) schützt, sondern auch die Vermögensinteressen individueller Kunden. § 25h Abs. 1 KWG spricht ausdrücklich von der Verhinderung von strafbaren Handlungen, die zu einer Gefährdung des Vermögens des Instituts führen können — die herrschende Auslegung erstreckt diesen Schutz auf Kontoinhaber, deren Guthaben durch Betrug gefährdet ist.

Demgegenüber hat der BGH für die Vorschriften des GwG — insbesondere für § 10 GwG — ausgesprochen, dass diese kein Schutzgesetz zugunsten individueller Vermögensinteressen darstellen, weil das Geldwäschegesetz das Finanzsystem als solches, nicht aber einzelne Geschädigte schützt. Für § 25h KWG gilt diese Wertung nicht unmodifiziert: Die Vorschrift enthält in Abs. 3 eine explizite Untersuchungs- und Meldepflicht, die strukturell auf die Verhinderung konkreter Schadensfälle abzielt — eine individualschützende Komponente, die den GwG-Normen fehlt. Die Unterscheidung ist prozessual entscheidend und wird von spezialisierten Fachanwälten in Schriftsätzen regelmäßig herausgearbeitet.

§ 25h KWG ist kein bloßes Aufsichtsrecht. Die Pflicht, Transaktionen mit ungewöhnlichem Muster zu erkennen, zu untersuchen und auf Strafanzeige zu prüfen, richtet sich dem Wortlaut nach gegen strafbare Handlungen, die Vermögen gefährden — das Vermögen der Kunden eingeschlossen.

Was bedeutet „nach Stand der Technik“ konkret für das Bank-Monitoring 2026?

Stand der Technik 2026 verlangt KI-gestütztes Echtzeit-Monitoring mit Anomalie-Erkennung: Das System analysiert Transaktionsfrequenz, Empfängerprofile, Betragsstruktur und Verwendungszwecke simultan und schlägt bei erkennbaren Betrugstypologien innerhalb von Sekunden an. Statische Schwellenwert-Systeme der Vorgenerationen genügen diesen Anforderungen nicht.

§ 25h Abs. 2 KWG verlangt, dass die Monitoring-Systeme dem öffentlich und im Kreditinstitut verfügbaren Erfahrungswissen über die Methoden der Geldwäsche und sonstiger strafbarer Handlungen entsprechen. Das ist eine dynamische Referenz: Was der Markt, die Aufsicht und die Fachliteratur als Stand der Technik anerkennen, definiert den haftungsrelevanten Mindeststandard — und dieser Maßstab hat sich in den Jahren 2024 bis 2026 erheblich verschärft.

In der Praxis bedeutet das nach aktuellem Erkenntnisstand folgendes:

  • Real-Time-Pattern-Erkennung: Systeme, die erst im Batch-Modus — also nachts oder stündlich — prüfen, erfüllen den Standard nicht. 41 Überweisungen in 90 Minuten sind ein Muster, das ein vollständig echtzeittaugliches System innerhalb der ersten drei bis fünf Transaktionen erkennen und eskalieren kann.
  • Machine-Learning-Algorithmen: Die BaFin hat in ihrem ALMA-System (Alarm- und Marktanalysesystem) seit 2024 Machine-Learning-Algorithmen implementiert, trainiert mit 1.500 Datensätzen realer auffälliger Handelsmuster. Was der Aufsicht selbst als Standard gilt, kann einer beaufsichtigten Bank als Mindesterwartung nicht fremd sein.
  • KI-Orientierungshilfe der BaFin: Die BaFin hat eine Orientierungshilfe zu IKT-Risiken beim Einsatz von KI veröffentlicht, die KI-Systeme explizit in den Risikomanagementrahmen nach DORA einbettet und kontinuierliche Überwachung mit frühzeitiger Anomalieerkennung fordert. Die Orientierungshilfe macht deutlich: KI-Systeme sind nicht optional, sondern Teil des regulatorisch erwarteten Sicherheitsrahmens.
  • Neue IT-Inspektionseinheit der BaFin: Die BaFin hat angekündigt, mit einer neuen Division gezielte Prüfungen bei Finanzinstituten durchzuführen, fokussiert auf Cybersicherheitsrisiken und KI-gestützte Angriffsmethoden. Institute, die danach noch statische Regel-Sets ohne maschinelles Lernen betreiben, exponieren sich einem verschärften Aufsichtsrisiko und — spiegelbildlich — einer erhöhten zivilrechtlichen Haftungserwartung.
  • Verwendungszweck-Analyse: Auffällige Verwendungszwecke wie „Kryptokauf“ in Kombination mit unbekannten Empfängern und hoher Frequenz sind nach den typologischen Erkenntnissen der FIU dokumentierte Risikomuster. Systeme, die diese Kombination nicht erkennen, verfehlen das Erfahrungswissen im Sinne des § 25h Abs. 2 KWG.
  • Dokumentationspflicht: § 25h Abs. 3 KWG normiert ausdrücklich die Pflicht, untersuchte Transaktionen und deren Ergebnisse zu dokumentieren. Fehlt diese Dokumentation vollständig, hat die Bank im Zivilprozess ein ernstes Beweisproblem — fehlende Dokumentation indiziert fehlendes Monitoring.

Welche OLG-Urteile stützen die Haftung der Bank bei versagendem Monitoring?

OLG Koblenz 8 U 682/24 (17. April 2026), BGH XI ZR 107/22 (5. März 2024) und BGH XI ZR 107/24 (22. Juli 2025) begründen eine klare Rechtsprechungslinie: Die Bank trägt die volle Beweislast für Autorisierung und Fahrlässigkeit des Kunden — eigenes Organisationsverschulden durch Monitoring-Versagen macht sie auch bei Mitverschulden des Kunden haftbar.

BGH XI ZR 107/22 (5. März 2024): Der XI. Zivilsenat hat in BGHZ 240, 23 entschieden, dass die Beweislast für die Autorisierung eines Zahlungsvorgangs und für grobe Fahrlässigkeit des Kunden vollständig bei der Bank liegt (§ 675w BGB). Kann die Bank keine konkrete, vorwerfbare Handlung des Kunden benennen und technisch belegen, scheitert ihr Gegenanspruch. Die Entscheidung ist Grundlage fast aller folgenden Instanzurteile zu Phishing und Online-Banking-Betrug.

BGH XI ZR 107/24 (22. Juli 2025): Der Nachfolgebeschluss bestätigt und schärft die Anforderungen. Grobe Fahrlässigkeit im Sinne von § 675v Abs. 3 Nr. 2 BGB setzt voraus, dass dem Kunden eine in hohem Maße sorgfaltswidrige Handlung konkret nachzuweisen ist. Das bloße Anklicken eines professionell gestalteten Phishing-Links genügt nach der Wertung des Senats dafür regelmäßig nicht. Parallel bleibt stets die Frage offen, ob das SCA-System der Bank dem Stand der Technik entsprach und ob ein stärkeres Authentifizierungsverfahren den Schaden verhindert hätte.

OLG Koblenz 8 U 682/24 (17. April 2026): Die Sparkasse Westerwald-Sieg führte sieben Echtzeit-Überweisungen ins Ausland über insgesamt 56.100 Euro aus, ohne dass das Monitoring anschlug. Das OLG verpflichtete die Sparkasse zur vollständigen Erstattung, weil sie weder die Autorisierung noch die grobe Fahrlässigkeit des Kunden beweisen konnte. Auf der Grundlage von § 675u Satz 2 BGB und § 675w BGB trägt die Bank das volle Risiko eines ungeklärten Geschehensablaufs. Die Entscheidung signalisiert zugleich für § 25h KWG: Wenn sieben Echtzeit-Überweisungen ins Ausland kein Monitoring-Signal auslösen, ist die Bank ihrer Pflicht aus § 25h Abs. 2 KWG augenscheinlich nicht nachgekommen. Pauschale Fahrlässigkeitsvorwürfe gegen den Kunden — ohne konkrete technische Belege — reichen nach dem OLG nicht aus.

OLG Linz (29. April 2026): Obwohl österreichisches Recht gilt, ist die Entscheidung für deutsche Gerichte von erheblichem Argumentationswert, weil beide Rechtsordnungen auf der PSD2 beruhen. 41 Überweisungen in 90 Minuten — darunter unbekannte Empfänger, auffällige Beträge, Verwendungszweck „Kryptokauf“ — lösten kein Warnsignal aus. Das OLG wertete das als eigenständiges Organisationsverschulden der Bank, das 50 Prozent des 200.000-Euro-Schadens begründet — trotz festgestellter grober Fahrlässigkeit des Kunden. Die Argumentation ist strukturell deckungsgleich mit dem deutschen § 25h KWG: Das Muster war objektiv erkennbar, das Monitoring versagte, die Haftung der Bank bleibt bestehen.

Wie funktioniert die Brücke zwischen § 25h KWG, § 25a KWG und MaRisk?

§ 25h KWG ist die betrugsspezifische Konkretisierung des allgemeinen Risikomanagements nach § 25a Abs. 1 KWG. MaRisk AT 7.2 präzisiert die organisatorischen Mindestanforderungen an IKT-Systeme — beide Normen zusammen bilden den Sorgfaltsmaßstab, gegen den Gerichte das Verhalten einer Bank in der Haftungsklage messen.

§ 25a Abs. 1 KWG verlangt von jedem Institut eine ordnungsgemäße Geschäftsorganisation, die ein angemessenes und wirksames Risikomanagement gewährleistet. Das schließt interne Kontrollsysteme ein, die Risiken — auch operationelle Risiken wie Betrug — erkennen, steuern und begrenzen. § 25h KWG ist die betrugs- und geldwäschespezifische Konkretisierung dieser allgemeinen Pflicht für den Zahlungsverkehr.

Die MaRisk übersetzen die gesetzlichen Anforderungen in aufsichtliche Mindeststandards. Einschlägig ist insbesondere AT 7.2, der die Anforderungen an IKT-Systeme und IT-Risikosteuerung regelt, sowie AT 4.3.2 zur internen Revision. Ein Monitoring-System, das dem Stand der Technik nicht entspricht, verletzt AT 7.2 und damit zugleich § 25a KWG — was im Zivilprozess als Indiz für die Pflichtverletzung nach § 280 Abs. 1 BGB herangezogen werden kann. Die 7. MaRisk-Novelle, in Kraft seit Juni 2023, hat die Anforderungen an IT-Risikomanagement nochmals verschärft und ist der aktuelle Referenzrahmen für die Frage, was ein Institut an Sorgfalt schuldet.

Ergänzend ist auf DORA (VO (EU) 2022/2554) zu verweisen, der seit Anfang 2025 für alle beaufsichtigten Finanzunternehmen vollständig gilt und IKT-Risikorahmenwerke, Vorfallsmeldepflichten und digitale Resilienztests vorschreibt. Ein Betrug, der durch ein unzureichendes Transaktions-Monitoring ermöglicht wird, ist nach DORA zugleich ein IKT-Vorfall, der gemeldet werden kann und dessen Nachgang die BaFin prüft. Diese Verknüpfung stärkt den zivilrechtlichen Vorwurf der Pflichtverletzung erheblich.

Gilt § 25h KWG auch für die Empfängerbank?

Ja. Die Monitoring-Pflicht des § 25h Abs. 2 KWG trifft alle Kreditinstitute — auch jene, die Überweisungen empfangen. Wenn eine Empfängerbank Gelder entgegennimmt, die aus einem erkennbaren Betrugsmuster stammen — hohe Frequenz eingehender Überweisungen von unbekannten Absendern, unmittelbarer Weiterversand in Drittländer oder auf Krypto-Exchange-Konten — und ihr Monitoring dies nicht erkennt, verletzt sie die Pflicht aus § 25h Abs. 2 KWG eigenständig. Das eröffnet eine parallele Haftungslinie gegen die Empfängerbank, ohne dass ein Vertragsverhältnis mit dem Geschädigten besteht — über § 823 Abs. 2 BGB i.V.m. § 25h KWG als Schutzgesetz.

Wie führt man § 25h-KWG-Versagen im Zivilprozess: § 286 ZPO und § 406e StPO als Beweishebel?

Im Zivilprozess genügt nach § 286 ZPO ein für das Gericht überzeugender Indizienbeweis. Logfiles der Bank — gesichert über ein Akteneinsichtsgesuch nach § 406e StPO im parallelen Strafverfahren — belegen, ob das Monitoring-System hätte ansprechen sollen, ob es das tat, und warum es schwieg.

Das Beweisführungskonzept in einer Klage wegen § 25h KWG-Versagens hat drei Säulen:

1. Indizienbeweis nach § 286 ZPO: Die Anspruchsnorm des § 823 Abs. 2 BGB setzt eine Schutzgesetzverletzung voraus, die kausal für den Schaden ist. Da der Kläger keinen Einblick in die bankinterne EDV hat, genügt nach § 286 ZPO ein Indizienbeweis: Das Transaktionsmuster war objektiv auffällig (Frequenz, Volumen, Empfänger, Verwendungszweck), ein funktionierendes System hätte reagieren sollen, die Bank hat nicht eingegriffen. Dieser dreischrittige Indizienschluss überträgt faktisch die Darlegungslast auf die Bank.

2. Logfile-Sicherung über § 406e StPO: Wird wegen des Betrugs ein Strafverfahren geführt, ist der Verletzte nach § 406e StPO berechtigt, durch seinen Anwalt Akteneinsicht zu nehmen, soweit er ein berechtigtes Interesse darlegt. In der Strafakte befinden sich regelmäßig die von der Bank nach § 25h Abs. 3 KWG zu erstellenden Dokumentationen der untersuchten Transaktionen sowie die Auskunftserteilungen an die ermittelnde Behörde. Fehlt dort die Dokumentation einer Prüfung — oder fehlt sie vollständig —, ist das der stärkste Beweis für ein Monitoring-Versagen. Auch die Auskunft der Bank gegenüber der Staatsanwaltschaft darüber, wann welches System ausgelöst hat, gehört zu den für das Zivilverfahren wertvollen Erkenntnissen.

3. Sachverständigenbeweis: Ob das eingesetzte Monitoring-System dem Stand der Technik entspricht, ist eine technische Frage, die Gerichte durch bankfachliche Sachverständige klären lassen. Im Kläger-Vortrag empfiehlt sich, konkrete Industriestandards — DORA-Anforderungen, die BaFin-Orientierungshilfe zu KI, die MaRisk — als Vergleichsmaßstab zu benennen, damit das Gericht dem Sachverständigen einen präzisen Prüfungsauftrag erteilen kann. Ein wirksamer Beweisantrag lautet sinngemäß: Es wird Beweis angeboten durch Einholung eines Sachverständigengutachtens zu der Frage, ob das von der beklagten Bank eingesetzte Transaktionsüberwachungssystem dem Stand der Technik nach § 25h Abs. 2 KWG genügte, insbesondere ob es geeignet und konfiguriert war, das streitgegenständliche Transaktionsmuster von 41 Überweisungen in 90 Minuten an verschiedene Empfänger unverzüglich zu erkennen und zur Prüfung zu eskalieren.

Zur Bank-Warnpflicht und ihren sechs Prüfdimensionen sowie zur Schnittmenge mit den DORA-Pflichten findet sich in dem Beitrag zu DORA und Bankenhaftung eine ausführliche Analyse. Das konkrete Fall-Paradigma zu Authentifizierungsschwächen und Monitoring-Versagen illustriert der Beitrag über Commerzbank photoTAN und Haftung.

Praxisbeispiel: 90 Minuten, 41 Überweisungen — wie der Anspruch konstruiert wird

Das folgende Beispiel ist anonymisiert und compositiv. Ein Kontoinhaber bei einer deutschen Privatbank erhält eine professionell gestaltete E-Mail mit einem gefälschten Sicherheitsportal seiner Bank. Er gibt seine Zugangsdaten ein. Die Täter übernehmen die Session und lösen innerhalb von 90 Minuten 41 Überweisungen aus — Beträge zwischen 3.000 und 8.000 Euro, Empfänger bei drei verschiedenen EU-Banken, Verwendungszweck überwiegend „Kryptokauf“ oder frei gelassen. Gesamtschaden: 198.000 Euro. Das Fraud-Monitoring der Bank greift nicht an. Erst als der Kontoinhaber am nächsten Morgen sein Konto prüft, erstattet er Anzeige.

Anspruchskonstruktion des klagenden Anwalts:

  1. § 675u BGB: Die Überweisungen waren nicht autorisiert — der Kontoinhaber hat keine Zahlungsaufträge erteilt, sondern wurde durch Täuschung zur Herausgabe von Zugangsdaten veranlasst. Die Bank hat nach § 675u Satz 2 BGB unverzüglich zu erstatten. Gemäß § 675w BGB trägt die Bank die Beweislast für Autorisierung und grobe Fahrlässigkeit des Kunden.
  2. § 280 Abs. 1 BGB i.V.m. § 241 Abs. 2 BGB: Die Bank hat Nebenpflichten aus dem Zahlungsdienstleistungsvertrag verletzt, indem sie das Konto trotz objektiv auffälligen Musters nicht gesperrt und den Kunden nicht gewarnt hat. Hinsichtlich der spezifischen Warn- und Schutzpflichten der Bank bei bekannten Betrugsmustern vgl. BGH XI ZR 327/22.
  3. § 823 Abs. 2 BGB i.V.m. § 25h Abs. 2 KWG: Die Bank hat kein dem Stand der Technik entsprechendes Monitoring betrieben. 41 Überweisungen in 90 Minuten an unbekannte Empfänger mit Krypto-Verwendungszweck ist nach den FIU-Typologien ein dokumentiertes Hochrisiko-Muster. Ein funktionierendes System hätte spätestens nach der fünften Überweisung eskalieren sollen. Das Ergebnis des Nicht-Eingreifens — 198.000 Euro Schaden — liegt im Schutzbereich der Norm.
  4. Mitverschulden nach § 254 BGB: Soweit das Gericht grobe Fahrlässigkeit des Kunden annimmt (was nach OLG Koblenz 8 U 682/24 hohe Hürden hat), ist das Mitverschulden der Bank für das Monitoring-Versagen quotierend einzustellen — Ergebnis: mindestens 50 Prozent verbleiben bei der Bank, wie das OLG Linz für einen strukturell identischen Sachverhalt festgestellt hat.

Die parallele Strafanzeige nach § 158 StPO — die § 25h Abs. 3 KWG für die Bank selbst vorsieht — eröffnet den Weg zur Beweissicherung über § 406e StPO und zur Rückverfolgung der Gelder über Blockchain-Tracing bei den Krypto-Exchange-Empfängerkonten. Schnelligkeit ist dabei entscheidend: Exchange-Konten werden gesperrt, wenn innerhalb von 24 bis 72 Stunden entsprechende Anfragen eingehen.

Tabelle: Anspruchsgrundlagen, Voraussetzungen und Verjährung

Anspruchsgrundlage Voraussetzungen Verjährung Beweislast
§ 675u BGB Nicht autorisierter Zahlungsvorgang 3 Jahre ab Kenntniserlangung (§ 195 BGB) Bank trägt Beweislast für Autorisierung (§ 675w BGB)
§ 280 Abs. 1 BGB Pflichtverletzung aus Zahlungsvertrag, Schaden, Kausalität 3 Jahre ab Kenntniserlangung Kläger: Pflichtverletzung und Schaden; Bank: kein Verschulden
§ 823 Abs. 2 BGB i.V.m. § 25h KWG Verstoß gegen Schutzgesetz, Schaden im Schutzbereich, Kausalität 3 Jahre ab Kenntniserlangung, max. 10 Jahre Kläger: Verletzungsindizien; Bank: kein Verstoß, mangelnde Kausalität
§ 826 BGB Vorsätzliche sittenwidrige Schädigung 3 Jahre ab Kenntniserlangung Kläger vollständig beweispflichtig für Vorsatz
§ 812 BGB (Bereicherung) Empfänger ohne Rechtsgrund bereichert 3 Jahre ab Kenntniserlangung Kläger: Vermögensverschiebung; Empfänger: Rechtsgrund

Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

Jetzt @kryptobetrug_anwaeltin auf Telegram folgen →

Was Geschädigte jetzt tun

Die rechtlichen Hebel gegen eine Bank, deren Monitoring versagt hat, sind stark — aber zeitkritisch. Beweismittel veralten, Logfiles werden überschrieben, Wallets leergezogen, und die dreijährige Verjährungsfrist nach § 195 BGB beginnt ab Kenntnis des Schadens. Geschädigte handeln deshalb am besten in sieben parallelen Schritten:

  1. Sofortige Dokumentation: Alle Kontoauszüge, Transaktionen, Zeitstempel, Empfänger und Verwendungszwecke sichern — digital und in Papierform. Diese Daten sind die Grundlage für den Indizienbeweis nach § 286 ZPO.
  2. Strafanzeige nach § 158 StPO: Sie eröffnet das Ermittlungsverfahren und damit den Weg zur Akteneinsicht über § 406e StPO. Nur über die Strafakte können die bankinternen Monitoring-Protokolle zugänglich werden.
  3. SEPA-Recall sofort beantragen: Schriftlich, mit Datum und Uhrzeit, unter Benennung aller betroffenen Transaktionen. Ein schuldhaft unterlassener Recall begründet eigenständige Schadensersatzansprüche; die Bank gerät durch bloße Mahnung in Verzug nach § 286 BGB.
  4. Spezialisierte Fachanwältin einschalten: Die Kombination aus § 675u BGB, § 25h KWG und § 823 Abs. 2 BGB erfordert Erfahrung in Bankrecht, Strafprozessrecht und digitalem Tracing. Standardisierte Verbraucherschutzklagen ohne bankaufsichtsrechtliche Tiefe unterschätzen das Haftungspotenzial erheblich.
  5. BaFin-Beschwerde: Eine formelle Beschwerde bei der BaFin dokumentiert das Monitoring-Versagen in einem aufsichtlichen Kontext und erzeugt Druck auf das Institut. BaFin-Prüfungsergebnisse können im Zivilprozess mittelbar verwertet werden.
  6. Blockchain-Tracing: Wenn Gelder über Krypto-Exchanges abgeflossen sind, ermöglicht forensische Blockchain-Analyse die Rekonstruktion des Geldflusses — als Grundlage für Pfändungen nach §§ 829, 835 ZPO oder Vermögensarrest nach § 111b StPO bei identifizierten Empfängern.
  7. Verjährungshemmung sicherstellen: Mahnbescheid, Klage oder eine schriftlich bestätigte Verhandlung mit der Bank hemmen die Verjährung. Wer wartet, verliert den Anspruch — in der Regel nach drei Jahren ab dem Tag, an dem der Schaden bekannt wurde.

Fazit: § 25h KWG als zivilrechtlicher Hebel — die Rechtslage 2026

§ 25h KWG ist mehr als Aufsichtsrecht. Die Norm verpflichtet Kreditinstitute zu einem funktionalen, dem Stand der Technik entsprechenden Echtzeit-Monitoring — und wer diese Pflicht verletzt, haftet nach § 823 Abs. 2 BGB auch gegenüber individuellen Kontoinhaber und Betrugsopfern. Die h.M. der Instanzgerichte, die Rechtsprechungslinie des BGH zu §§ 675u, 675w BGB nach den Urteilen XI ZR 107/22 und XI ZR 107/24, und die signalstarke Entscheidung des OLG Linz zum 90-Minuten-Muster belegen: Monitoring-Versagen ist kein abstraktes Aufsichtsthema, sondern ein handfestes Haftungsrisiko für Banken — und ein ernstzunehmender Anspruchspfad für Geschädigte.

2026 kommen zwei Faktoren hinzu, die den Standard weiter schärfen: Die neue IT-Inspektionseinheit der BaFin prüft gezielt, wie gut Finanzinstitute auf KI-gestützte Risiken vorbereitet sind. Und die BaFin-Orientierungshilfe zu KI-Systemen macht deutlich, dass kontinuierliche Überwachung, Anomalie-Erkennung und vollständige Dokumentation nicht optional sind. Was der Aufsicht als defizitär gilt, definiert zivilrechtlich den Sorgfaltsverstoß nach § 280 Abs. 1 BGB und die Schutzgesetzverletzung nach § 823 Abs. 2 BGB zugleich.

Für Geschädigte heißt das: Die Beweislast der Bank nach § 675w BGB ist hoch, die Haftungsarchitektur aus § 25h KWG, § 280 BGB und § 823 Abs. 2 BGB ist mehrschichtig — und die Zeit ist das einzige, was knapp werden kann. Eine frühzeitige anwaltliche Beratung, die strafprozessuale Sicherung der Beweismittel und das richtige Zusammenspiel der Anspruchsgrundlagen entscheiden darüber, ob der Schaden ganz, hälftig oder gar nicht erstattet wird.