Die jüngste BaFin-Warnung zur Plattformreihe „Bildungseinrichtungen“ betrifft 27 nahezu identische Domains, die vorgeben, Interessierte an Schulungspartner für Trading, Anlagestrategien und Investitionen in Finanzprodukte zu vermitteln. Tatsächlich fließen die im Kontaktformular hinterlegten personenbezogenen Daten an unbeaufsichtigte Online-Trading-Anbieter — ein systematisch aufgebauter Daten-Lead-Funnel, der ohne BaFin-Erlaubnis betrieben wird und auf keiner der betroffenen Websites über ein rechtsgültiges Impressum verfügt.
Wer auf einer dieser Plattformen seinen Namen, seine E-Mail-Adresse oder seine Telefonnummer einträgt, riskiert zweierlei: unerwünschte, mitunter aggressive Kontaktaufnahme durch unregulierte Broker sowie eine Datenweitergabe ohne Rechtsgrundlage im Sinne der Datenschutz-Grundverordnung. Dieser Pillar-Artikel erklärt den vollständigen Modus operandi, listet alle 27 bekannten Domains in einer Übersichtstabelle auf, ordnet die kapitalmarktrechtliche und datenschutzrechtliche Rechtslage präzise ein und zeigt Ihnen Schritt für Schritt, welche Maßnahmen Sie ergreifen können, um Schäden zu begrenzen und etwaige Ansprüche geltend zu machen.
Was warnt die BaFin bei der Plattformreihe „Bildungseinrichtungen“?
Die Bundesanstalt für Finanzdienstleistungsaufsicht hat im Rahmen ihrer Verbraucherschutztätigkeit wiederholt vor einer koordinierten Reihe nahezu identischer Websites gewarnt. Die unbekannten Betreiber geben an, Kundinnen und Kunden an Bildungseinrichtungen und Partnerfirmen vermitteln zu wollen, die Schulungen zu den Themen Trading, Anlagestrategien und Investitionen in Finanzprodukte anbieten sollen. Interessierte werden aufgefordert, ihre Daten in einem Kontaktformular zu hinterlegen — angeblich um Zugang zu diesen Schulungsangeboten zu erhalten.
Nach den Erkenntnissen der BaFin werden die auf den Websites gesammelten Kundendaten jedoch nicht an seriöse Bildungseinrichtungen weitergeleitet, sondern an Betreiber von Online-Trading-Plattformen, die nicht der Aufsicht der BaFin unterstehen. Die Websites dienen damit vorrangig der Anbahnung von Geschäften für unerlaubte Finanzdienstleistungen und möglicherweise auch für unerlaubte Kryptoasset-Dienstleistungen. Rechtsgrundlage für das öffentliche Einschreiten der Aufsicht ist § 37 Abs. 4 Kreditwesengesetz (KWG), der es der BaFin erlaubt, die Öffentlichkeit zu informieren, wenn Tatsachen die Annahme rechtfertigen, dass jemand unerlaubte Bankgeschäfte betreibt oder Finanzdienstleistungen erbringt.
Die BaFin weist zudem darauf hin, dass möglicherweise ein Zusammenhang mit weiteren Plattformreihen besteht, vor denen die Aufsicht bereits in der Vergangenheit gewarnt hat. Das deutet auf eine übergeordnete Täterinfrastruktur hin, die bewusst auf dezentrale Domain-Strukturen setzt, um einzelne Abschaltungen durch Registrare zu überstehen. Jede der 27 Domains unterscheidet sich inhaltlich, designtechnisch und strukturell nur unwesentlich von den übrigen — ein typisches Kennzeichen industriell erzeugter Phishing- und Lead-Funnel-Netzwerke.
Wie funktioniert der Daten-Lead-Funnel dieser Klon-Domains im Detail?
Der Mechanismus hinter diesen Plattformen ist schlichter als er auf den ersten Blick wirkt, aber in seiner Wirkung umso effektiver. Interessierte tragen ihre personenbezogenen Daten — Name, E-Mail-Adresse, Telefonnummer — in ein Kontaktformular ein, weil sie glauben, sich für ein Schulungsangebot im Bereich Trading oder Anlagestrategien anzumelden. Die Daten gelangen jedoch direkt an unbeaufsichtigte Trading-Anbieter, die sie als bezahlte Leads erworben oder im Rahmen einer Kooperationsvereinbarung erhalten haben.
Nach der Dateneingabe nehmen sogenannte „Account-Manager“ oder „Finanzberater“ Kontakt auf — per Telefon, E-Mail oder über Messaging-Dienste. Sie präsentieren sich als Mitarbeiter eines Finanzbildungsunternehmens oder eines Brokers und drängen die kontaktierten Personen schrittweise zu Einzahlungen. Typische Einstiegsbeträge liegen zwischen 250 und 500 Euro, werden aber zügig auf fünfstellige Summen gesteigert. Die versprochenen Renditen sind unrealistisch, die angeblichen Handelsgewinne erscheinen nur auf gefälschten Dashboards.
Dieser Funnel-Mechanismus zeichnet sich durch folgende strukturelle Merkmale aus:
- Professionell gestaltete Landing-Pages mit Begriffen wie „AI“, „GPT“ oder „Chain“, die technologische Kompetenz und Seriosität suggerieren, ohne inhaltliche Substanz zu liefern.
- Kein Impressum oder unvollständige Angaben nach § 5 Telemediengesetz (TMG), was eine zivilrechtliche Identifikation und Inanspruchnahme der Betreiber erheblich erschwert.
- Inhaltlich nahezu identische Texte und Strukturen auf allen 27 Domains — ein Indiz für einen gemeinsamen Betreiber oder eine geteilte technische Infrastruktur, möglicherweise über einen gemeinsamen Hosting-Anbieter oder ein Content-Management-System.
- Weitergabe der Daten an unbeaufsichtigte Dritte ohne Einwilligung oder sonstige Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO.
- Kein nachweisbares reales Schulungsangebot — die beworbenen Bildungseinrichtungen und Partnerfirmen sind nicht verifizierbar oder existieren überhaupt nicht als solche.
- Mirror-Strategie auf mehreren TLDs (.com, .org, .net, .de), um bei Abschaltung einer Domain den Betrieb nahtlos über eine andere Domain fortzuführen.
Welche 27 Domains sind Teil der BaFin-Warnung zur Plattformreihe?
Die folgende Tabelle listet sämtliche 27 von der BaFin in ihrer Verbrauchermitteilung identifizierten Domains auf. Alle Angaben basieren auf der offiziellen BaFin-Verbrauchermitteilung zur Plattformreihe Bildungseinrichtungen. Die Domains sind in der Tabelle in „defused“-Schreibweise angegeben (eckige statt runde Klammern beim TLD-Trennzeichen), um unbeabsichtigte Klicks zu verhindern. Von einem Besuch oder einer Dateneingabe auf diesen Websites wird ausdrücklich abgeraten.
| # | Domain (defused) | Plattformname | TLD |
|---|---|---|---|
| 1 | auntrixcipheraisystem[.]net | Auntrix Cipher AI | .net |
| 2 | bryzorlink-ai[.]com | Bryzor Link AI | .com |
| 3 | handluxgptsystem[.]com | Handlux GPT | .com |
| 4 | lucroxaiupdate[.]com | LucroX AI | .com |
| 5 | lumetrixaiapps[.]net | Lumetrix AI | .net |
| 6 | lunorochainofficial[.]com | Lunoro Chain | .com |
| 7 | luprix-app[.]org | Luprix App | .org |
| 8 | mavrextrace[.]com | Mavrex Trace | .com |
| 9 | mymavrextrace[.]org | Mavrex Trace (Mirror) | .org |
| 10 | myzaurenflux[.]net | Zauren Flux (Mirror) | .net |
| 11 | pagtrixai[.]net | Pagtrix AI | .net |
| 12 | savrox-path[.]com | Savrox Path | .com |
| 13 | savryn-pulseai[.]org | Savryn Pulse AI | .org |
| 14 | theklyroth-drift[.]com | Klyroth Drift | .com |
| 15 | thekryvongearapp[.]org | Kryvon Gear App | .org |
| 16 | thelucren-ai[.]com | Lucren AI | .com |
| 17 | theluprixappsystem[.]org | Luprix App System | .org |
| 18 | theluprixorgpt[.]org | Luprixor GPT | .org |
| 19 | theluprixorgptapp[.]com | Luprixor GPT App | .com |
| 20 | thenivorastrid-gpt[.]org | Nivora Stride GPT | .org |
| 21 | thetrexonpivot-gpt[.]org | Trexon Pivot GPT | .org |
| 22 | the-thryzonpixelai[.]de | Thryzon Pixel AI | .de |
| 23 | the-xenvorpulse[.]org | Xenvor Pulse | .org |
| 24 | thryzonpixel-ai[.]org | Thryzon Pixel AI (Mirror) | .org |
| 25 | xyberitoacoesaireview[.]org | Xyberito Acoes AI | .org |
| 26 | xyberorendaofficial[.]org | Xybero Renda | .org |
| 27 | zaurenflux[.]org | Zauren Flux | .org |
Bemerkenswert ist die systematische Verwendung von Begriffen aus dem Umfeld künstlicher Intelligenz — „AI“, „GPT“, „Chain“, „Flux“, „Pivot“ — sowie die häufige Verdoppelung von Domains auf unterschiedlichen Top-Level-Domains (.com und .org). Diese Mirror-Strategie dient der Ausfallsicherheit und erschwert eine vollständige Abschaltung durch Registrare oder Strafverfolgungsbehörden, da selbst bei Löschung einer Domain mehrere Schwester-Domains denselben Inhalt fortführen. Das Muster ähnelt Klon-Strukturen, die bereits bei anderen von der BaFin erfassten Anbietern identifiziert wurden — so etwa im Fall der Elementum-Ventures-Klon-Serie mit Namensmissbrauch, bei der ebenfalls multiple Domains auf identischer technischer Basis betrieben wurden.
Aufsichtsrechtlicher Hintergrund: Erlaubnispflicht nach § 32 KWG und Sanktionsbefugnisse der BaFin
Das Kreditwesengesetz verpflichtet alle Unternehmen, die in Deutschland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Bankgeschäfte betreiben oder Finanzdienstleistungen erbringen wollen, vorab die schriftliche Erlaubnis der BaFin einzuholen (§ 32 Abs. 1 KWG). Wer dieser Pflicht nicht nachkommt, betreibt ein unerlaubtes Bankgeschäft oder eine unerlaubte Finanzdienstleistung — und macht sich strafbar (§ 54 KWG: Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe).
Die Plattformen der hier beschriebenen Reihe treten zwar nicht selbst als Broker oder Handelsplattform auf; sie fungieren als vorgelagerte Akquisitionsstufe. Dennoch ist im Einzelfall zu prüfen, ob die reine Vermittlung von Kundendaten an unerlaubt tätige Anbieter bereits als erlaubnispflichtige Anlagevermittlung oder Abschlussvermittlung im Sinne von § 1 Abs. 1a Nr. 1 und 2 KWG zu qualifizieren ist. Ist dies der Fall, agieren die Plattformbetreiber ebenfalls ohne die erforderliche BaFin-Erlaubnis. Die BaFin kann in einem solchen Fall:
- Die Einstellung des Geschäftsbetriebs anordnen (§ 37 Abs. 1 KWG);
- Die Abwicklung des unerlaubt betriebenen Geschäfts anordnen;
- Die Öffentlichkeit informieren (§ 37 Abs. 4 KWG) — was sie im vorliegenden Fall bereits getan hat;
- Strafanzeige erstatten und Ermittlungsbehörden einschalten.
Für Verbraucher ist die BaFin-Warnung damit nicht nur ein Hinweis auf ein erhöhtes Betrugsrisiko, sondern auch ein aufsichtsrechtliches Signal, das den Betroffenen in einem späteren Zivilverfahren zugutekommen kann: Die öffentliche Warnung der BaFin ist ein starkes Indiz dafür, dass die Betreiber die Voraussetzungen der §§ 32 ff. KWG nicht erfüllen und damit als Schutzgesetzverletzung im Sinne des § 823 Abs. 2 BGB haftbar gemacht werden können.
Welche DSGVO-Rechte haben Betroffene nach der Dateneingabe auf diesen Plattformen?
Wer seine personenbezogenen Daten auf einer der 27 Domains eingegeben hat, ist unmittelbar Betroffener im Sinne der Datenschutz-Grundverordnung. Die Weitergabe dieser Daten an unbeaufsichtigte Dritte ohne eine der in Art. 6 Abs. 1 DSGVO abschließend aufgezählten Rechtsgrundlagen stellt einen Datenschutzverstoß dar, der konkrete Ansprüche begründet. Im Einzelfall kann bereits die ungewollte telefonische Kontaktaufnahme durch einen unerlaubt tätigen Broker einen immateriellen Schaden begründen, der nach Art. 82 DSGVO ersatzfähig ist.
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ (Art. 82 Abs. 1 DSGVO)
Folgende datenschutzrechtliche Ansprüche kommen im Einzelfall in Betracht:
- Auskunftsrecht nach Art. 15 DSGVO: Sie können vom Plattformbetreiber verlangen zu erfahren, welche personenbezogenen Daten gespeichert wurden, zu welchem Zweck sie verarbeitet werden und an welche Empfänger oder Empfängerkategorien sie weitergegeben worden sind. Die Auskunft ist in der Regel innerhalb eines Monats zu erteilen.
- Löschungsrecht nach Art. 17 DSGVO („Recht auf Vergessenwerden“): Wurden Daten ohne Rechtsgrundlage erhoben oder verarbeitet, besteht ein Anspruch auf unverzügliche Löschung. Dieser Anspruch richtet sich auch gegen Dritte, an die die Daten bereits weitergegeben wurden.
- Widerspruchsrecht nach Art. 21 DSGVO: Gegen jede auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützte Verarbeitung kann jederzeit Widerspruch eingelegt werden; die Verarbeitung hat dann zu unterbleiben, sofern keine zwingenden schutzwürdigen Gründe überwiegen.
- Schadensersatz nach Art. 82 DSGVO: Materielle Schäden (z. B. durch Einzahlungen infolge der unerlaubten Akquise) und immaterielle Schäden (z. B. ungewollte Kontaktaufnahmen, Stress, Belästigung) sind ersatzfähig. Die Beweislast für die Einhaltung der DSGVO liegt beim Verantwortlichen, nicht beim Betroffenen.
- Beschwerde bei der Datenschutzaufsichtsbehörde: In Deutschland sind die Landesdatenschutzbehörden zuständig (z. B. der Landesbeauftragte für den Datenschutz Baden-Württemberg oder der Bayerische Landesbeauftragte für den Datenschutz). Eine solche Beschwerde hemmt zivilrechtliche Ansprüche nicht, sondern ergänzt sie.
Die Geltendmachung von DSGVO-Ansprüchen setzt voraus, dass die Identität des Verantwortlichen ermittelbar ist. Bei Plattformen ohne rechtsgültiges Impressum ist dies besonders schwierig, jedoch keineswegs unmöglich. Erfahrene Kanzleien nutzen WHOIS-Registrierungsdaten, Hosting-Provider-Informationen, Blockchain-Tracing-Methoden und behördliche Auskunftsersuchen nach §§ 14, 15 TMG, um Betreiber zu identifizieren. Auch Verfahren zur vorläufigen Beweissicherung nach § 485 ZPO können sinnvoll sein, um Beweise zu sichern, bevor Domains abgeschaltet oder Server gelöscht werden.
Welche kapitalmarktrechtlichen und strafrechtlichen Schritte sind möglich?
Neben dem datenschutzrechtlichen Weg stehen Betroffenen kapitalmarktrechtliche und strafrechtliche Instrumente zur Verfügung. Das Betreiben eines Daten-Lead-Funnels, der gezielt Kundendaten an unerlaubt tätige Finanzdienstleister weiterleitet, berührt mehrere Rechtsgebiete gleichzeitig und bietet damit mehrere parallele Angriffslinien.
Im Überblick die relevanten Normen und Handlungsoptionen:
- § 32 KWG (Erlaubnispflicht): Wer in Deutschland gewerbsmäßig Bankgeschäfte betreiben oder Finanzdienstleistungen erbringen will, bedarf der schriftlichen Erlaubnis der BaFin. Das Einschalten von Kundendaten-Funnels zur Anbahnung solcher Geschäfte kann bereits als erlaubnispflichtiger Vorbereitungsakt qualifiziert werden. Ein Verstoß gegen § 32 KWG ist nach § 54 KWG mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bewehrt.
- § 32 Abs. 4 KWG als Schutzgesetz: Wer infolge unerlaubter Finanzdienstleistungen einen Schaden erleidet, kann unter den Voraussetzungen des § 823 Abs. 2 BGB Schadensersatz geltend machen, wenn § 32 KWG als Schutzgesetz zugunsten der Anleger qualifiziert wird — was die höchstrichterliche Rechtsprechung im Regelfall bejaht. Das eröffnet einen zivilrechtlichen Direktanspruch gegen die Betreiber.
- § 263 StGB (Betrug): Wer durch Täuschung über den tatsächlichen Zweck der Plattform zur Dateneingabe und anschließend zu Einzahlungen veranlasst wird, kann Strafanzeige wegen Betrugs erstatten. Die Täuschungshandlung liegt in der falschen Darstellung als Bildungsvermittler; der Vermögensschaden entsteht mit der Einzahlung an den unerlaubt tätigen Broker. Bei grenzüberschreitenden Sachverhalten ist die Einbeziehung von Europol oder Eurojust zu erwägen.
- Akteneinsicht nach § 406e StPO: Sobald ein Ermittlungsverfahren läuft, können Verletzte Akteneinsicht beantragen, um Informationen für eine parallele Zivilklage zu gewinnen. Dieses Instrument ist insbesondere dann wertvoll, wenn die Behörden bereits Ermittlungsschritte unternommen haben, die Identität der Täter oder Zahlungsströme offenbaren. Ausführlich dazu: Akteneinsicht nach § 406e StPO als Hebel für die Zivilklage.
- § 37 Abs. 4 KWG — Öffentlichkeitsinformation der BaFin: Die BaFin hat bereits von ihrer Befugnis Gebrauch gemacht, die Öffentlichkeit zu warnen. Zusätzlich können Verbraucher bei der BaFin selbst Anzeige gegen die Betreiber erstatten, was den aufsichtsrechtlichen Druck auf die Hintermänner erhöht.
Wie erkennen Anleger legitime von illegalen Bildungsplattformen im Trading-Bereich?
Legitime Anbieter von Finanzbildung und Trading-Schulungen in Deutschland sind entweder selbst bei der BaFin oder einer anderen EU-Aufsichtsbehörde reguliert oder kooperieren ausschließlich mit regulierten Brokern. Ein vollständiges und rechtsgültiges Impressum mit ladungsfähiger Anschrift, Vertretungsberechtigten und Handelsregisternummer ist Pflichtbestandteil jedes deutschen Webangebots nach § 5 TMG. Fehlt dieses oder ist es erkennbar unvollständig, sollten Sie keinerlei Daten eingeben.
Folgende Prüfkriterien helfen bei der Einschätzung:
- BaFin-Unternehmensdatenbank: Überprüfen Sie, ob der Anbieter oder sein beworbener Handelspartner über eine BaFin-Erlaubnis nach § 32 KWG verfügt. Für Kryptoasset-Dienstleister prüfen Sie zusätzlich das CASP-Register der BaFin nach MiCAR (VO 2023/1114).
- ESMA-Register und nationale Aufsichtsregister: Für EU-weit tätige Wertpapierfirmen existiert ein zentrales ESMA-Verzeichnis; für grenzüberschreitend tätige Anbieter empfiehlt sich die Prüfung beim jeweiligen nationalen Pendant (z. B. FCA in Großbritannien, AMF in Frankreich, CONSOB in Italien).
- WHOIS-Abfrage der Domain: Sehr junge Domains (wenige Wochen oder Monate nach Registrierung), vollständig anonymisierte Registrierungsdaten und Hosting in Offshore-Jurisdiktionen sind klare Warnsignale. Domains, die erst nach einer BaFin-Warnung gegenüber einer Schwester-Domain registriert wurden, sind mit hoher Wahrscheinlichkeit Teil derselben Infrastruktur.
- Generische KI-Begriffe im Domainnamen: Kombinationen aus „AI“, „GPT“, „Chain“, „Flux“, „Pivot“, „Trace“ oder „Pulse“ in unbekannten Domainnamen sind im aktuellen Betrugsumfeld besonders häufig anzutreffen und kein Qualitätsmerkmal.
- Kein nachweisbares Schulungsprogramm: Seriöse Bildungsanbieter benennen konkrete Kursinhalte, anerkannte Zertifizierungen, namentlich genannte Referenten, AGB und Widerrufsbelehrungen. Vage Formulierungen zu „Trading-Schulungen“ oder „Anlagestrategien“ ohne inhaltliche Details sind ein starkes Indiz für einen reinen Lead-Funnel.
- Drucktaktiken bei der Kontaktaufnahme: Seriöse Bildungsanbieter drängen nicht zu sofortigen Einzahlungen oder zu Entscheidungen unter Zeitdruck. Hochdruckverkauf ist ein verlässliches Warnsignal für unerlaubt tätige Broker.
Was tun, wenn Sie bereits Daten eingegeben oder Geld überwiesen haben?
Handeln Sie so früh wie möglich — je mehr Zeit vergeht, desto schwieriger wird die Rückverfolgung von Zahlungsströmen und die Sicherstellung digitaler Beweise. Konkrete Sofortmaßnahmen, geordnet nach Priorität:
- Keine weiteren Zahlungen. Überweisen Sie unter keinen Umständen weitere Beträge, auch wenn Ihnen angebliche Gewinne oder ein Entsperrungsbonus in Aussicht gestellt werden. Solche Versprechungen sind ein klassisches Merkmal des „Recovery Scam“, bei dem Opfer ein zweites Mal geschädigt werden.
- Sämtliche Kommunikation sichern. E-Mails, Chat-Protokolle (WhatsApp, Telegram, Signal), Screenshots der Plattform einschließlich des angeblichen Handelskontos sowie Kontoauszüge und Transaktionsbelege unverzüglich dokumentieren, sichern und an einem sicheren Ort — getrennt vom betroffenen Gerät — speichern.
- Bank oder Zahlungsdienstleister umgehend kontaktieren. Überweisungen können in sehr engen Zeitfenstern über SEPA-Rückgabe oder bei Kreditkartenzahlungen per Chargeback (Rückbuchung) rückgängig gemacht werden. Je früher Sie handeln, desto größer die Chance einer erfolgreichen Rückbuchung. Sperren Sie gegebenenfalls Ihre Karte oder Ihr Online-Banking-Konto, solange die Situation unklar ist.
- Strafanzeige erstatten. Bei der Polizei oder Staatsanwaltschaft Strafanzeige wegen Betrugs (§ 263 StGB) einreichen. Für den Online-Weg stellen viele Bundesländer eine Online-Wache zur Verfügung. Erstatten Sie gleichzeitig eine Anzeige bei der BaFin über deren Beschwerdeformular — das erhöht den aufsichtsrechtlichen Druck.
- DSGVO-Auskunft und Löschung schriftlich beantragen. Richten Sie an den Plattformbetreiber — soweit erreichbar — per Einschreiben oder E-Mail mit Lesebestätigung eine Anfrage nach Art. 15 DSGVO (Auskunft) und Art. 17 DSGVO (Löschung). Dokumentieren Sie diese Anfrage und etwaige Reaktionen sorgfältig; sie ist relevant für spätere Schadensersatzansprüche nach Art. 82 DSGVO.
- Blockchain-Tracing und zivilrechtliche Rückforderung prüfen. Bei Zahlungen über Kryptowährungen können spezialisierte Forensikunternehmen und Kanzleien Zahlungsströme on-chain nachverfolgen. Die Identifikation von Wallet-Adressen ist Voraussetzung für gerichtliche Sicherungsmaßnahmen wie die europäische Kontenpfändung nach VO 655/2014 (EAPO) oder nationale Arrestanordnungen. Ausführliche Informationen zur Strategie: Asset Recovery 2026 — Strategie und Rechtsgrundlagen.
- Anwaltliche Beratung in Anspruch nehmen. Im Bank- und Kapitalmarktrecht spezialisierte Kanzleien können sowohl die DSGVO-Ansprüche, die kapitalmarktrechtlichen Schadensersatzansprüche als auch strafrechtliche Anzeigen koordiniert und zielgerichtet geltend machen. Das Zusammenspiel dieser Instrumente erhöht die Erfolgsaussichten erheblich.
Wer mehrere dieser Schritte parallel einleitet, setzt die Hintermänner gleichzeitig unter strafrechtlichen, aufsichtsrechtlichen und zivilrechtlichen Druck — was die Bereitschaft zur Einigung oder Rückzahlung im Einzelfall erhöhen kann. Entscheidend ist, keine Schritte zu überstürzen, die Beweise vernichten oder den Betreibern einen Vorsprung verschaffen könnten.
Besonders wichtig ist das koordinierte Vorgehen: Wer ausschließlich die Strafanzeige erstattet und auf das Ermittlungsergebnis wartet, verliert wertvolle Zeit für zivilrechtliche Maßnahmen. Zivilrechtliche Sicherungsmaßnahmen — insbesondere der Arrest nach §§ 916 ff. ZPO oder die Kontenpfändung nach der europäischen Kontenpfändungsverordnung (VO 655/2014) — erfordern keine rechtskräftige strafrechtliche Verurteilung. Sie können parallel zum Ermittlungsverfahren beantragt werden, sobald die Identität oder zumindest die Bankverbindung des Schädigers ermittelt ist. In international gelagerten Fällen kommt zudem die gegenseitige Rechtshilfe nach der Richtlinie 2014/41/EU in Betracht, die die Übermittlung von Beweismitteln zwischen EU-Mitgliedstaaten ermöglicht.
Schließlich sei darauf hingewiesen, dass es neben dem individuellen Rechtsschutz auch kollektive Instrumente gibt. Verbraucherschutzverbände können bei Verstößen gegen Datenschutzrecht oder Wettbewerbsrecht nach § 8 Abs. 3 Nr. 3 UWG bzw. nach Art. 80 DSGVO im eigenen Namen klagen. Auch koordinierte Sammelklagen mehrerer Betroffener mit identischer Schadensursache werden von spezialisierten Kanzleien zunehmend angeboten und können die Durchsetzung von Ansprüchen erheblich vereinfachen.
Hinzu tritt eine datenschutzrechtliche Dimension, die in der Praxis häufig unterschätzt wird: Werden personenbezogene Daten aus den Lead-Funnels in Drittländer ohne Angemessenheitsbeschluss übermittelt — typisch sind Server in Belize, Vanuatu oder den Vereinigten Arabischen Emiraten —, liegt regelmäßig ein Verstoß gegen Art. 44 ff. DSGVO vor. Geschädigte können neben dem materiellen Schadensersatz aus Art. 82 DSGVO auch immateriellen Schadensersatz für Kontrollverlust geltend machen; der Europäische Gerichtshof hat in der Entscheidung Österreichische Post (C-300/21) klargestellt, dass bereits die begründete Befürchtung eines Datenmissbrauchs einen ersatzfähigen Schaden begründen kann.
Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Quellen und weiterführende Informationen
- BaFin-Verbrauchermitteilung: Plattformreihe Bildungseinrichtungen — 27 Klon-Domains (§ 37 Abs. 4 KWG)
- BaFin-Warnliste unerlaubter Anbieter — Gesamtübersicht
- Datenschutz-Grundverordnung (DSGVO) — EU-Amtsblatt, Volltext (VO 2016/679)
- MiCAR — Verordnung (EU) 2023/1114 über Märkte für Kryptowerte
- Asset Recovery 2026: Anwaltsstrategie und Rechtsgrundlagen (kryptoschaden.de)
- Akteneinsicht § 406e StPO als Hebel für die Zivilklage (kryptoschaden.de)
- Elementum Ventures: BaFin-Warnung, Klon-Muster und Rechte der Geschädigten (kryptoschaden.de)
Verfasst von Rechtsanwältin Anna O. Orlowa, LL.M. · REXUS Rechtsanwaltsgesellschaft mbH, Stuttgart · Fachgebiete Bank- und Kapitalmarktrecht, Cybercrime, Asset Recovery, eWpG, MiCAR.