kryptoschaden.de

Am 13. Mai 2026 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht dreizehn Verbrauchermitteilungen nach § 37 Abs. 4 KWG an einem einzigen Werktag. Im Zentrum der BaFin-Warnwelle 13. Mai 2026 steht die sogenannte Bankklon-Masche: Betrüger kopieren das Erscheinungsbild lizenzierter Banken und täuschen Anlegerinnen und Anleger über die Identität und Erlaubnislage des Anbieters. Für Betroffene ergibt sich daraus ein konkreter rechtlicher Handlungsbedarf – von der Beweissicherung bis zur strafrechtlichen Anzeige.

Was ist passiert?

Kurz nach 10 Uhr öffneten BaFin-Mitarbeitende dreizehn neue Warnmeldungen im Behördenportal – eine Konzentration, die selbst für die in den vergangenen Jahren intensiver gewordene Warntätigkeit der Behörde ungewöhnlich ist. Die gemeldeten Anbieter lassen sich in drei Gruppen einteilen: klassische Fake-Trading-Plattformen (u. a. bitcoinera.com und das Multidomainnetz smartlösung.com / skysafeinvest.com / crypto-extrade.com / kryvobit.site), Bankklone sowie App-basierte Krypto-Plattformen (helixapp.de / helix-app.pro / coinberg.eu / coinberg.pro).

Besonders auffällig sind zwei Bankklone: identbnpparibas.de.com ahmt das Erscheinungsbild der BNP Paribas nach, de-ziraatmoney.org kopiert die türkische Ziraat Bankası. Hinzu kommt satrex-kapital.com, das unter Missbrauch des Namens der regulierten belgischen Satrex S.A. Festgeldzinsen über Marktniveau bewirbt. Sämtliche Anbieter betrieben Bank- oder Finanzdienstleistungsgeschäfte ohne die nach deutschem Recht erforderliche Erlaubnis.

Welche Normen greifen?

Die BaFin-Mitteilungen stützen sich auf § 37 Abs. 4 KWG, der die Behörde zur öffentlichen Warnung ermächtigt, wenn jemand ohne die nach § 32 KWG erforderliche Erlaubnis Bankgeschäfte oder Finanzdienstleistungen betreibt. Die Mitteilung ist keine strafrechtliche Verurteilung, sondern eine aufsichtsrechtliche Feststellung – sie dokumentiert jedoch die fehlende Erlaubnis und ist damit ein zentrales Beweismittel.

Das unerlaubte Betreiben ist nach § 54 KWG strafbewehrt. Parallel dazu kommt regelmäßig § 263 StGB (Betrug) in Betracht, weil die Täter durch Täuschung über die Identität der Plattform zur Vermögensübertragung verleiten. Bei App-basierten Plattformen, die Transaktionen auf fremde Wallet-Adressen umleiten, ist zudem § 263a StGB (Computerbetrug) zu prüfen.

Für Ansprüche gegen Zahlungsdienstleister ist die Unterscheidung zwischen autorisierten und nicht autorisierten Zahlungen entscheidend. Bei echter Phishing-Situation – also wenn der Kontoinhaber den Überweisungsvorgang nicht selbst auslöste – gilt § 675u BGB, der den Zahlungsdienstleister zur sofortigen Erstattung verpflichtet. Bei Bankklonen hingegen weist der Kontoinhaber die Überweisung oft selbst an, weil er glaubt, mit einer regulierten Bank zu interagieren. In diesen Fällen greift § 675u BGB nicht unmittelbar; stattdessen sind Ansprüche aus §§ 241 Abs. 2, 280 Abs. 1 BGB (Verletzung von Warn- und Schutzpflichten der kontoführenden Bank) und – gegenüber der Empfängerbank – Drittschadensliquidation zu prüfen. Hatte die Bank nach § 25h KWG im Rahmen des Transaktionsmonitorings Anhaltspunkte für einen Betrugsfall, ohne darauf hinzuweisen, kann dies die Haftungsquote verschieben. § 675v BGB regelt ergänzend den Schadensersatzanspruch der Bank für den Fall grob fahrlässigen Verhaltens des Kontoinhabers.

Die strafrechtliche Einziehung deliktisch erlangter Werte richtet sich nach § 73 StGB i. V. m. § 111b StPO (vorläufige Sicherung). Wer Vermögenswerte frühzeitig einfrieren lassen will, sollte den Vermögensarrest nach § 111b StPO in die Strafanzeige aufnehmen.

Was bedeutet das für Geschädigte?

  • Autorisierte Überweisung schließt Ansprüche nicht aus. Wer selbst überwiesen hat, weil er eine Bankklonseite für echt hielt, kann Ansprüche aus Warn- und Schutzpflichtverletzung der eigenen Bank (§§ 241 Abs. 2, 280 Abs. 1 BGB) prüfen – sofern die Bank objektiv erkennbare Warnsignale ignoriert hat.
  • BaFin-Warnung als Beweismittel sichern. Die Meldung nach § 37 Abs. 4 KWG dokumentiert das Fehlen der Erlaubnis. Sie sollte sofort als Screenshot oder PDF gespeichert werden, da Einträge im BaFin-Portal gelegentlich aktualisiert oder archiviert werden.
  • Krypto-Transaktionen sind zeitkritisch. Je früher Transaktions-Hashes (TxIDs) und Wallet-Adressen vorliegen, desto eher lassen sich Guthaben auf zentralisierten Exchanges durch Blockchain-Forensik verfolgen und einfrieren.
  • Steuerliche Folgen beachten. Vermeintliche Auszahlungen oder buchhalterisch ausgewiesene Scheingewinne können steuerliche Fragen aufwerfen, die frühzeitig mit einem Steuerberater zu klären sind.

Wichtig ist zudem, die betroffene Plattform vor Abschluss der Beweissicherung nicht direkt mit dem Betrugsverdacht zu konfrontieren. Eine verfrühte Konfrontation führt erfahrungsgemäß zu sofortiger Account-Sperrung, Löschung von Chatverläufen und Migration der Betreiber auf Ersatzdomains.

Welche Schritte sind jetzt sinnvoll?

  1. Anbieter in der BaFin-Warndatenbank und der ESMA-Datenbank prüfen. Die BaFin veröffentlicht Warnmitteilungen im Verbraucherportal unter „Verbrauchermitteilungen“. Die ESMA-Datenbank erfasst grenzüberschreitende Warnungen europäischer Aufsichtsbehörden. Ein Eintrag belegt das Fehlen der Erlaubnis nach § 32 KWG und stärkt spätere Ansprüche erheblich.
  2. Beweise vollständig sichern. Dazu gehören: Browser-Screenshots aller Seiten der Plattform (Startseite, Dashboard, Impressum, AGB), vollständige E-Mail-Korrespondenz mit Metadaten, Chat-Exporte aus Telegram oder WhatsApp mit sichtbaren Zeitstempeln, Kontoauszüge mit Datum, IBAN und Betrag sowie bei Krypto-Transaktionen die TxIDs und Wallet-Adressen. Ergänzend empfiehlt sich eine Whois-Abfrage der Domain als PDF.
  3. Bank schriftlich informieren. Die kontoführende Bank erhält eine schriftliche Mitteilung mit Hinweis auf die BaFin-Warnung. Gleichzeitig sollte eine Stellungnahme der Bank angefordert werden, wie sie ihrer Pflicht zur Transaktionsüberwachung nach § 25h KWG nachgekommen ist. Das Schreiben dokumentiert den Zeitpunkt der Kenntnis und ist Grundlage für Ansprüche aus §§ 241 Abs. 2, 280 Abs. 1 BGB.
  4. Strafanzeige nach § 158 StPO erstatten. Die Anzeige wird bei der zuständigen Staatsanwaltschaft oder beim Landeskriminalamt eingebracht. Sie sollte neben dem Sachverhalt die Blockchain-Dokumentation (Wallet-Adressen, TxIDs), die BaFin-Mitteilung und alle gesicherten Kommunikationsnachweise enthalten. Im Begleitschreiben ist auf die Dringlichkeit eines Vermögensarrests nach § 111b StPO hinzuweisen, damit Gelder auf Exchanges frühzeitig eingefroren werden können.
  5. Verletztenanmeldung fristgerecht vorbereiten. Sobald die Staatsanwaltschaft im weiteren Verfahren zur Anmeldung auffordert, ist die Frist nach § 459i StPO zu wahren. Wer sie versäumt, riskiert, von einer späteren Auskehr aus eingezogenem Vermögen nach § 459h StPO ausgeschlossen zu werden. Die Forderung ist in Euro, nicht in Kryptowährung, anzumelden und durch die Unterlagen aus der Beweissicherung zu belegen. Weiterführende Informationen zum Ablauf der strafrechtlichen Rückforderung finden sich in der Schritt-für-Schritt-Darstellung zur Asset Recovery bei Krypto-Betrug.

Häufige Fragen

Wie erkenne ich, ob eine Website eine echte Bank klont?

Typische Merkmale sind: Die Domain weicht vom offiziellen Internetauftritt der Bank ab – etwa durch ungewöhnliche TLD-Kombinationen wie .de.com oder Buchstabendreher. Das SSL-Zertifikat ist auf eine Privatperson oder eine Offshore-Gesellschaft ausgestellt, nicht auf die Bank selbst. Im Impressum wird eine Adresse genannt, die per Kartenansicht kein Bankgebäude ist, oder es fehlt die BaFin-Registriernummer. Kontonummern führen zu IBANs aus Litauen, Bulgarien, Malta oder Zypern statt aus dem Herkunftsland der Bank. Ein Abgleich mit der BaFin-Warndatenbank und dem offiziellen BaFin-Unternehmensregister klärt die Erlaubnislage innerhalb von Minuten.

Kann ich Geld zurückfordern, wenn ich die Überweisung selbst autorisiert habe?

Der direkte Erstattungsanspruch nach § 675u BGB setzt eine nicht autorisierte Zahlung voraus und greift bei bewusst veranlassten Überweisungen nicht unmittelbar. Wurden Sie jedoch durch eine täuschend echte Bankklonseite zur Überweisung verleitet, kommen Ansprüche gegen die kontoführende Bank aus der Verletzung von Schutzpflichten nach §§ 241 Abs. 2, 280 Abs. 1 BGB in Betracht – insbesondere wenn das Transaktionsmonitoring nach § 25h KWG Warnsignale hätte erkennen können. Gegen die Empfängerbank ist Drittschadensliquidation zu prüfen. Einen strukturierten Überblick zur aktuellen Rechtsprechung bietet die Rechtsprechungsübersicht zur Bankenhaftung bei Krypto-Betrug 2024–2026.

Macht eine Strafanzeige nach § 158 StPO Sinn, wenn die Täter im Ausland sitzen?

Ja. Die Strafanzeige nach § 158 StPO ist nicht nur Voraussetzung für strafprozessuale Sicherungsmaßnahmen im Inland, sondern auch Grundlage für internationale Rechtshilfeersuchen. Entscheidend ist, dass Gelder auf zentralisierten Exchanges – etwa Binance, Kraken oder Coinbase – durch frühe Kooperation mit der Staatsanwaltschaft eingefroren werden können. Selbst wenn die Haupttäter unerreichbar bleiben, ermöglicht § 459h StPO nach rechtskräftiger Einziehung eine Auskehr an fristgerecht angemeldete Verletzte aus dem sichergestellten Vermögen.

Was bedeutet die BaFin-Warnung rechtlich – ist das schon eine Verurteilung?

Nein. Die Mitteilung nach § 37 Abs. 4 KWG ist eine aufsichtsrechtliche Feststellung, keine strafrechtliche Verurteilung und kein Zivilurteil. Sie belegt, dass die BaFin zum Zeitpunkt der Meldung das Fehlen der nach § 32 KWG erforderlichen Erlaubnis festgestellt hat. Das ist für Geschädigte gleichwohl wertvoll: Die Mitteilung belegt die objektive Unerlaubtheit des Geschäftsbetriebs und kann im Rahmen von Schadensersatzklagen nach § 823 Abs. 2 BGB i. V. m. § 32 KWG als Schutzgesetzverletzung herangezogen werden. Zudem stärkt sie die Position bei der Geltendmachung von Ansprüchen aus § 263 StGB im Adhäsionsverfahren.

Einordnung

Die Warnwelle vom 13. Mai 2026 steht exemplarisch für einen anhaltenden Trend: Die Täter adaptieren ihre Methoden laufend und setzen nun gezielt auf Identitätsdiebstahl gegen lizenzierte Institute, weil die Klon-Marke das Vertrauen der Anleger schneller gewinnt als eine völlig unbekannte Plattform. Regulatorisch verschiebt sich der Rahmen: MiCAR (EU-Verordnung 2023/1114), die seit Ende 2024 schrittweise in Kraft getreten ist, und die Richtlinie 2024/1260 verschärfen die Aufsichtspflichten für Krypto-Dienstleister. Parallel dazu zeichnet sich durch die Schlussanträge des Generalanwalts Rantos im Verfahren EuGH C-70/25 ein „Refund-first“-Ansatz für nicht autorisierte Zahlungen ab. Auf der Übersichtsseite zur BaFin-Warnwelle vom 13. Mai 2026 sind alle dreizehn betroffenen Anbieter dokumentiert. Für Geschädigte bedeutet das: Die Rechtslage entwickelt sich, und frühzeitig gesicherte Beweise erhöhen die Handlungsoptionen in jedem Szenario.