Bankenhaftung bei Kryptobetrug: Rechtsprechungsübersicht 2024–2026
Kein deutsches Obergericht hat bislang eine Bank wegen einer vom Kunden autorisierten Überweisung an eine betrügerische Krypto-Plattform zur Erstattung verurteilt. § 675u BGB erfasst ausschließlich nicht autorisierte Zahlungsvorgänge – bei klassischem Krypto-Anlagebetrug (Pig Butchering, Romance Scam, Investment Fraud) autorisiert der Kunde die Überweisung jedoch selbst, getäuscht über den Anlagezweck. Haftungsansprüche gegen die Kundenbank müssen daher über die deutlich engere Warnpflichtverletzung (§§ 241 Abs. 2, 280 Abs. 1 BGB) konstruiert werden.
– das OLG Braunschweig stellte in einem vielbeachteten Beschluss klar, dass Krypto-Diebstahl strafbar ist
Die Rechtsprechung entwickelt sich jedoch dynamisch: Drei BGH-Grundsatzentscheidungen aus 2024/2025 zu § 675u BGB, wegweisende OLG-Urteile zur SCA-Mithaftung und die bevorstehende EU-Regulierung (PSD3/PSR mit erstmaliger Spoofing-Haftung) verschieben die Risikoverteilung schrittweise zugunsten von Betrugsopfern.
Die dogmatische Grundunterscheidung bestimmt bei Bankenhaftung alles
Die gesamte Rechtsprechung zum Thema dreht sich um eine fundamentale Weichenstellung: Autorisierte vs. nicht autorisierte Zahlung. Bei Phishing, Social Engineering und technischem Identitätsdiebstahl – wo der Kunde die Überweisung nicht selbst auslöst oder über den konkreten Zahlungsvorgang getäuscht wird – greift der verschuldensunabhängige Erstattungsanspruch aus § 675u S. 2 BGB. Der Zahlungsdienstleister trägt die volle Beweislast für die Autorisierung (§ 675w BGB; bestätigt durch BGH, 05.03.2024 – XI ZR 107/22). Bei klassischem Krypto-Anlagebetrug überweist der Kunde hingegen freiwillig an eine vermeintliche Investmentplattform – die Zahlung ist technisch und rechtlich autorisiert. § 675u BGB ist damit nicht einschlägig.
Für die anwaltliche Praxis bedeutet dies: Der primäre Haftungsansatz gegen die Kundenbank bei autorisiertem Krypto-Betrug liegt in der Verletzung von Warnpflichten (§§ 241 Abs. 2, 280 Abs. 1 BGB), ergänzt durch § 25h KWG (Transaktionsüberwachung). Gegen die Empfängerbank kommt ein Anspruch über die Drittschadensliquidation (DSL) in Betracht. Gegen Finanzagenten steht § 823 Abs. 2 BGB i.V.m. § 261 StGB zur Verfügung. In der nachfolgenden Übersicht werden sämtliche relevanten Entscheidungen nach Instanzen gegliedert dargestellt.
Lesen Sie dazu auch unseren Beitrag auf Anwalt.de unter Bankenhaftung bei Kryptobetrug 2026: Wann Ihre Bank für Verluste durch Überweisungen haftet
BGH-Entscheidungen: Drei Leitentscheidungen zu Bankenhaftung bei Kryptobetrug seit 2024
BGH, 05.03.2024 – XI ZR 107/22 (BGHZ 240, 23): Beweislast für Autorisierung
| Merkmal | Detail |
|---|---|
| Gericht | BGH, XI. Zivilsenat |
| Datum | 05.03.2024 |
| Aktenzeichen | XI ZR 107/22 |
| Vorinstanz | OLG Karlsruhe, 12.04.2022 – 17 U 823/20 |
| Fundstellen | BGHZ 240, 23; NJW 2024, 1647; WM 2024, 689 |
Leitsatz: Die Beweislast für die Autorisierung eines Zahlungsvorgangs trägt in jedem Fall der Zahlungsdienstleister (§ 675w BGB). Die Bank kann dem Erstattungsanspruch aus § 675u S. 2 BGB nach § 242 BGB einen gegenläufigen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten.
Tragende Erwägungen: Der BGH legt § 675w BGB weit aus: Der ZDL trägt die volle Beweislast sowohl für Ansprüche des ZDL gegen den Zahler (§ 675u S. 1) als auch für die Abwehr des Erstattungsanspruchs des Zahlers (§ 675u S. 2). Der bloße Nachweis einer technisch ordnungsgemäßen Authentifizierung genügt nicht; die Bank muss die tatsächliche Autorisierung durch den Kunden nachweisen. Anwalt.de +3 Zudem hat § 675v Abs. 2 BGB eine Sperrwirkung für weitergehende vertragliche Schadensersatzansprüche der Bank, einschließlich § 280 Abs. 1 BGB.
Praxisrelevanz für Kryptobetrug: Grundsatzentscheidung, die in sämtlichen Fällen streitiger Autorisierung zitiert wird. Bei Phishing-Angriffen im Krypto-Kontext (z.B. gefälschte Wallet-Zugänge) stärkt das Urteil die Kundenposition erheblich, da die Bank die volle Beweislast trägt.
BGH, 14.05.2024 – XI ZR 327/22: Warnpflicht der Empfängerbank und DSL
| Merkmal | Detail |
|---|---|
| Gericht | BGH, XI. Zivilsenat |
| Datum | 14.05.2024 |
| Aktenzeichen | XI ZR 327/22 |
| Vorinstanzen | OLG Frankfurt, 3 U 306/21; LG Frankfurt, 2-27 O 188/21 |
| Fundstellen | DB 2024, 1540; WM 2024, 1160; ZIP 2024, 1453; ZBB 2024, 264 |
Leitsatz (4 Kernaussagen): (1) Im mehrgliedrigen Zahlungsverkehr besteht kein Vertrag mit Schutzwirkung zugunsten Dritter – Ansprüche laufen über Drittschadensliquidation (DSL) und Abtretung. (2) Die Empfängerbank kann verpflichtet sein, vor Gutschrift zu warnen, wenn die Gefährdung der Interessen des Überweisenden objektiv evident ist. (3) Die Vermutung aufklärungsrichtigen Verhaltens gilt auch für Warn- und Hinweispflichten der Bank im Zahlungsverkehr – mit echter Beweislastumkehr zulasten der Bank. (4) Für die Verjährung abgetretener DSL-Ansprüche kommt es auf die Kenntnis des Zedenten (der Bank) an.
Tragende Erwägungen: Kläger hatten €350.000 an eine Anlagegesellschaft überwiesen, gegen die die schweizerische FINMA bereits ein Verbot der Entgegennahme von Publikumseinlagen ausgesprochen und Untersuchungsbeauftragte mit Einzelzeichnungsberechtigung eingesetzt hatte. Die Empfängerbank kannte die FINMA-Verfügung, schrieb den Betrag aber gleichwohl gut. Der BGH bestätigte die Leitentscheidung XI ZR 56/07 (BGHZ 176, 281): Grundsätzlich muss sich die Bank im bargeldlosen Zahlungsverkehr nicht um die Interessen der am Zahlungsvorgang Beteiligten kümmern. Ausnahme: Bei objektiver Evidenz aufgrund massiver Verdachtsmomente entsteht eine Warnpflicht – hier ausgelöst durch die FINMA-Verfügung.
Praxisrelevanz für Kryptobetrug: Zentrale Entscheidung. Der Haftungsansatz über die Empfängerbank (z.B. Bank, bei der OpenPayd, Binance oder eine betrügerische Plattform ihr Konto unterhält) ist bei autorisiertem Kryptobetrug häufig vielversprechender als der Anspruch gegen die eigene Kundenbank. Liegen BaFin-Warnungen, aufsichtsrechtliche Untersagungen oder bekannte GwG-Auffälligkeiten vor, kann die Schwelle der „objektiven Evidenz“ erreicht sein. Der Mandant muss die Abtretung des Anspruchs von seiner Hausbank erlangen. Die Beweislastumkehr über die „Vermutung aufklärungsrichtigen Verhaltens“ ist ein erheblicher taktischer Vorteil.
BGH, 22.07.2025 – XI ZR 107/24: SCA und § 675v Abs. 4
| Merkmal | Detail |
|---|---|
| Gericht | BGH, XI. Zivilsenat |
| Datum | 22.07.2025 |
| Aktenzeichen | XI ZR 107/24 |
| Vorinstanz | OLG Naumburg, 22.05.2024 – 5. Zivilsenat |
Leitsatz: Der Schadensersatzanspruch der Bank aus § 675v Abs. 3 Nr. 2 BGB ist nicht nach § 675v Abs. 4 S. 1 Nr. 1 BGB ausgeschlossen, wenn die Bank lediglich für den Login ins Online-Banking (nicht aber für den konkreten streitgegenständlichen Zahlungsvorgang) keine starke Kundenauthentifizierung verlangt hat. Bundesgerichtshof Bezugspunkt des § 675v Abs. 4 ist ausschließlich der streitgegenständliche Zahlungsvorgang selbst.
Tragende Erwägungen: Phishing-Fall: Klägerin gab nach gefälschter Website TANs weiter. Überweisungen waren nicht autorisiert (§ 675u S. 2 BGB). Bank konnte jedoch nach § 242 BGB Gegenanspruch aus § 675v Abs. 3 Nr. 2 BGB (grobe Fahrlässigkeit) entgegenhalten. Ob die Bank beim Login SCA verlangt hatte, war für § 675v Abs. 4 irrelevant, da der konkrete Zahlungsvorgang selbst mit SCA ausgeführt wurde. SCA-Defizite bei vorgelagerten Schritten können aber über § 254 BGB (Mitverschulden) berücksichtigt werden.
Praxisrelevanz: Klärt das Verhältnis zwischen § 675v Abs. 4 und § 254 BGB. SCA-Mängel beim Login begründen kein vollständiges Entfallen der Kundenhaftung nach § 675v Abs. 4, können aber die Haftungsquote über § 254 BGB verschieben – genau die Konstruktion, die das OLG Dresden (8 U 1482/24) angewandt hat.
OLG-Entscheidungen: Wegweisende Entwicklungen
OLG Dresden, 05.06.2025 – 8 U 1482/24: Durchbruch bei der Mithaftung
| Merkmal | Detail |
|---|---|
| Gericht | OLG Dresden, 8. Zivilsenat |
| Datum | 05.06.2025 |
| Aktenzeichen | 8 U 1482/24 |
| Vorinstanz | LG Chemnitz, 6 O 544/22 (Klageabweisung) |
| Fundstelle | MMR 2025, 336 (Schulte am Hülse/Bremm/Steinsdörfer/Rößler/Kunz) |
Sachverhalt: Phishing-Angriff (Februar 2022): Kläger gab nach E-Mail Login-Daten auf gefälschter Sparkassen-Website ein, bestätigte über mehrere Tage pushTAN-Aufträge, die er für „System-Updates“ hielt. Tatsächlich wurde das Tageslimit angehoben und zwei Überweisungen à ca. €25.000 ausgeführt. Gesamtschaden: ~€49.421.
Leitsatz: Trotz grober Fahrlässigkeit des Kunden haftet die Sparkasse anteilig mit 20% (~€10.000), weil sie beim Online-Banking-Login keine starke Kundenauthentifizierung (SCA) gemäß § 55 Abs. 1 ZAG verlangte.
Tragende Erwägungen: Die Zahlungen waren nicht autorisiert (§ 675u BGB). Grobe Fahrlässigkeit des Klägers lag vor (§ 675v Abs. 3 Nr. 2 BGB): Er ignorierte Phishing-Warnsignale und prüfte die pushTAN-Anzeigen nicht. Jedoch: Die Sparkasse erlaubte den Login nur mit PIN (ein Faktor), ohne zweiten Authentifizierungsfaktor. Dieses Organisationsverschulden war mitursächlich für den Schadenseintritt – der Phishing-Angriff wurde durch die fehlende Login-SCA erleichtert. Das OLG wandte § 254 BGB an: 80% Kunde / 20% Bank.
Praxisrelevanz: Wegweisendes Urteil. Erstes OLG, das die fehlende SCA beim Login als eigenständigen Mithaftungsgrund anerkennt. Übertragbar auf sämtliche Online-Banking-Betrugsfälle, bei denen die Bank keine vollwertige Zwei-Faktor-Authentifizierung beim Login implementiert hat – auch im Krypto-Kontext. Revision nicht zugelassen.
OLG Karlsruhe, 23.12.2025 – 17 U 113/23: Apple-Pay-Paukenschlag
| Merkmal | Detail |
|---|---|
| Gericht | OLG Karlsruhe, 17. Zivilsenat |
| Datum | 23.12.2025 |
| Aktenzeichen | 17 U 113/23 |
| Vorinstanz | LG Karlsruhe, 23.11.2023 – 2 O 312/22 |
| Status | Revision zum BGH zugelassen – noch nicht rechtskräftig |
Sachverhalt: Nach Phishing-Angriff registrierten Betrüger die Debitkarte des Kunden auf einem fremden Apple-Pay-Gerät. Der Kunde bestätigte eine pushTAN mit dem Text „Karte registrieren“. In den folgenden 10 Tagen erfolgten 122 nicht autorisierte POS-Transaktionen über insgesamt €42.182,68. Leitsatz: Die Freigabe einer generischen „Karte registrieren“-pushTAN stellt keine Autorisierung der einzelnen Kartenzahlungen dar. Die Bank muss nach § 675u S. 2 BGB vollständig erstatten; § 675v Abs. 4 BGB schließt die Kundenhaftung aus, weil die Bank bei den streitgegenständlichen elektronischen Kartenzahlungen am POS keine SCA verlangt hat.
Tragende Erwägungen: Autorisierung i.S.d. § 675j BGB setzt vollständige Einhaltung des vereinbarten Authentifizierungsverfahrens für jeden einzelnen Zahlungsvorgang voraus. Eine unspezifische Registrierungsfreigabe genügt nicht. Keine grobe Fahrlässigkeit des Kunden, da der pushTAN-Text zu vage formuliert war.
Praxisrelevanz: Paradigmenwechsel für Mobile-Payment-Betrug. Die zugelassene Revision wird die Grundsatzfrage klären, was „Verlangen“ von SCA im Sinne des § 675v Abs. 4 S. 1 Nr. 1 BGB bedeutet.
OLG Frankfurt, 30.07.2024 – 23 U 8/23: AML-Warnsystem begründet keine Kundenpflicht
| Merkmal | Detail |
|---|---|
| Gericht | OLG Frankfurt am Main |
| Datum | 30.07.2024 (Hinweisbeschluss) |
| Aktenzeichen | 23 U 8/23 |
Leitsatz: Das interne AML-Warnsystem einer Bank, das Transaktionen zur Geldwäscheprävention flaggt, begründet keine allgemeine Pflicht zur Warnung des Kunden vor möglicherweise betrügerischen Empfängern. Die Warnpflicht entsteht nur bei „massiver, objektiv evidenter“ Betrugsgefahr.
Tragende Erwägungen: Die Klägerin hatte €348.426 verloren und argumentierte, die Bank habe die Transaktionen in ihrem internen Warnsystem als auffällig markiert. Das OLG stellte klar: Das interne Warnsystem dient primär der Geldwäscheprävention und nicht dem individuellen Kundenschutz. Die Alerts seien zu breit gefasst (jede Auslandstransaktion löst einen Alarm aus), um spezifischen Betrug zu indizieren. Zudem bestehe kein Informationsgefälle – die Kundin kannte selbst die Empfänger und Verwendungszwecke.
Praxisrelevanz für Kryptobetrug: Erheblich einschränkend. Banken können sich darauf berufen, dass interne Compliance-Systeme nicht automatisch eine Schutzpflicht gegenüber dem Kunden auslösen – selbst wenn Transaktionen als verdächtig geflaggt wurden. Der Argumentationsansatz „die Bank hätte aufgrund ihres Warnsystems eingreifen müssen“ ist damit auf OLG-Ebene zurückgewiesen.
OLG Frankfurt, 17.10.2024 – 29 U 100/24: Direktanspruch gegen den Finanzagenten
| Merkmal | Detail |
|---|---|
| Gericht | OLG Frankfurt am Main, 29. Zivilsenat |
| Datum | 17.10.2024 |
| Aktenzeichen | 29 U 100/24 |
Leitsatz: Opfern von Telefonbetrug steht ein Direktzahlungsanspruch gegen den Geldwäscher (Finanzagenten) aus § 823 Abs. 2 BGB i.V.m. § 261 StGB zu. Mitverschulden des Opfers wird nicht angerechnet, auch wenn dieses grob fahrlässig handelte.
Tragende Erwägungen: Die Klägerin wurde durch Call-ID-Spoofing unter Druck gesetzt und autorisierte per PhotoTAN Überweisungen an das Konto des Beklagten (€9.500). Dieser hatte sein Konto einem „Freund“ zur Verfügung gestellt und führte am selben Tag 20–30 Kleintransaktionen (Supermarkt, ATM, Uber) durch – klassisches Layering. § 261 StGB (Geldwäsche) ist Schutzgesetz i.S.d. § 823 Abs. 2 BGB. Die Klägerin schuldet dem Geldwäscher keine Sorgfaltspflicht; eine Anrechnung ihres Mitverschuldens (§ 254 BGB) würde den Schutzzweck der Anti-Geldwäsche-Vorschriften untergraben.
Praxisrelevanz: Wichtige alternative Anspruchsgrundlage bei Kryptobetrug. Wo identifizierbare Finanzagenten (Money Mules) ihre Konten zur Weiterleitung von Betrugserlösen bereitstellen – häufig bei der Umwandlung in Kryptowährungen –, besteht ein deliktischer Direktanspruch ohne Mitverschuldenskürzung.
OLG Saarbrücken, 16.10.2025: Zahlungsdiensterecht gilt nicht für Krypto-Plattformen
| Merkmal | Detail |
|---|---|
| Gericht | OLG Saarbrücken |
| Datum | 16.10.2025 |
| Vorinstanz | LG Saarbrücken, 1 O 439/21 |
Sachverhalt: 102.999,99 Cardano (ADA) Coins (Wert ca. €144.134) wurden ohne Autorisierung des Klägers von seinem Hot Wallet auf der niederländischen Krypto-Plattform LiteBit.eu transferiert.
Leitsatz: §§ 675c ff. BGB (Zahlungsdiensterecht/PSD2-Umsetzung) sind auf Krypto-Plattformen weder direkt noch analog anwendbar. Zwischen Nutzer und Plattform besteht jedoch ein Geschäftsbesorgungsvertrag (§§ 675, 611 BGB), aus dem Schutz- und Verwahrungspflichten (§ 241 Abs. 2 BGB) erwachsen.
Tragende Erwägungen: Dezentrale Kryptowährungen haben keinen zentralen Emittenten und können daher nicht als E-Geld qualifiziert werden. Die günstigen Beweislastregeln des § 675w BGB gelten nicht für Krypto-Transfers. Die Haftung der Plattform folgt aus allgemeinem Vertragsrecht (§ 280 Abs. 1 i.V.m. § 241 Abs. 2 BGB): sichere Verwahrung der Coins und Private Keys. Das OLG rügte einen Verstoß gegen Art. 103 Abs. 1 GG (kein IT-Sachverständiger bestellt) und verwies zurück.
Praxisrelevanz: Klärt, dass die Krypto-Plattform selbst nicht den strengen Regeln des Zahlungsdiensterechts unterliegt. Haftung erfolgt über allgemeines Vertragsrecht – mit geringerer Schutzintensität für den Nutzer.
Weitere OLG-Entscheidungen im Überblick
| Gericht | Az. | Datum | Kernaussage | Krypto-Relevanz |
|---|---|---|---|---|
| OLG Braunschweig | 4 U 439/23 | 06.01.2025 | Grobe Fahrlässigkeit bei 4 pushTAN-Freigaben nach Spoofing-Anruf; Bank nicht erstattungspflichtig | Strenge Linie bei Kundenfahrlässigkeit |
| OLG Oldenburg | 8 U 103/23 | 24.04.2025 | €41.000 Phishing – keine Erstattung bei offensichtlich fehlerhafter E-Mail | Bestätigt: Offensichtliche Red Flags → grobe Fahrlässigkeit |
| OLG Nürnberg | 14 U 2275/22 | 18.11.2024 | Enkeltrick €83.000 – Bank warnte am Schalter, Kunde bestand auf Auszahlung → keine weitergehende Nachfragepflicht | Atypische Transaktionen allein lösen keine Warnpflicht aus |
| OLG Brandenburg | 4 U 32/24 | 15.01.2025 | Generische pushTAN-Freigabe für Kartenregistrierung = keine Autorisierung der Folgezahlungen | Parallele zu OLG Karlsruhe 17 U 113/23 |
| OLG Frankfurt | 10 U 18/24 | 25.02.2025 | Bank haftet nicht für Anwaltskosten nach rechtmäßiger GwG-Verdachtsmeldung/Kontosperrung | Krypto-bezogene Kontosperrungen sind grundsätzlich zulässig |
| OLG Düsseldorf | 12 U 16/25 | 06.11.2025 | Auf dejure.org unter § 675u BGB gelistet; Volltext noch nicht veröffentlicht | Details ausstehend |
| KG Berlin | 4 U 79/23 | 04.09.2024 | Kartenemittent (DKB) muss algorithmische Transaktionsüberwachung zur Erkennung atypischer Transaktionen vorhalten | Übertragbar auf Krypto-Transaktionsüberwachung |
| OLG Hamm | 1 Ws 90/25 | 14.05.2025 | Strafrechtlich: Einziehung von €20 Mio. bei Krypto-Betrug (fiktive Kryptowährung, 17.552 Fälle gewerbsmäßigen Betrugs) | Zeigt Dimension des Krypto-Betrugs in Deutschland |
Relevante LG-Entscheidungen als Vorinstanzen
LG Frankenthal, 24.10.2024 – 7 O 154/24: Autorisierte Echtzeitüberweisung
Sachverhalt: Ehepaar erhielt „Hallo Mama“-SMS und überwies per Echtzeitüberweisung insgesamt €6.000 an Betrüger.
Leitsatz: Bei technisch korrekt autorisierten Echtzeitüberweisungen haftet die Bank nicht. Der Widerruf einer Echtzeitüberweisung ist nur bis zum Zugang der Freigabe beim Zahlungsdienstleister möglich – bei Internetübertragung in Sekundenbruchteilen. Rechtskräftig.
Praxisrelevanz: Höchst relevant für Kryptobetrug: Viele Überweisungen an Krypto-Plattformen erfolgen als Echtzeit-Überweisungen und sind ab dem Moment der Freigabe unwiderruflich. Die 20-minütige Verzögerung zwischen Überweisung und Kontosperrung war bereits zu spät.
LG Köln, 08.01.2024 – 22 O 43/23: Spoofing – Bank haftet
Leitsatz: Sparkasse muss €9.933,38 erstatten. Die Bestätigung einer pushTAN mit dem Text „Registrierung Karte“ stellt keine Autorisierung der Folgetransaktionen über Apple Pay dar. Keine grobe Fahrlässigkeit bei Call-ID-Spoofing mit authentisch erscheinender Bankrufnummer.
AG Frankfurt, 02.02.2024 – 32 C 99/23: Zahlungsdienstleister haftet bei illegaler Plattform
Leitsatz: Zahlungsdienstleister zur Erstattung verurteilt, weil die Überweisung an eine nachweislich illegale Plattform ausgeführt wurde. Der ZDL hatte oder hätte Kenntnis von der Illegalität des Empfängers haben müssen.
Praxisrelevanz: Seltenes Erfolgsbeispiel – potenziell übertragbar auf Fälle, in denen Überweisungen an Plattformen gehen, vor denen die BaFin bereits gewarnt hat. Details sind spärlich; nur als AG-Entscheidung von begrenzter Präjudizwirkung.
§ 25h KWG als Schutzgesetz: Die ungeklärte Schlüsselfrage
Ob § 25h KWG (interne Sicherungsmaßnahmen, Transaktionsüberwachung) ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB zugunsten einzelner Betrugsopfer darstellt, ist die zentrale ungelöste Rechtsfrage im Bereich Krypto-Bankenhaftung. Bejahendenfalls könnten Betrugsopfer einen deliktischen Schadensersatzanspruch gegen die Bank geltend machen, wenn deren Transaktionsüberwachungssystem die verdächtigen Krypto-Überweisungen nicht erkannt oder nicht zum Anlass genommen hat, den Kunden zu warnen.
Für den Schutzgesetzcharakter sprechen: der Wortlaut des § 25h Abs. 1 KWG (Verhinderung von „Straftaten, die zu einer Gefährdung des Vermögens des Instituts führen können“), OLG München, 27.09.2023, 8 U 1536/23 e (hohe Einzelüberweisung an unbekannten Empfänger löst erhöhte Prüfpflicht aus) sowie KG Berlin 4 U 79/23 (algorithmische Transaktionsüberwachungspflicht des Kartenemittenten). Gegen den Schutzgesetzcharakter spricht die Einordnung als primär aufsichtsrechtliche Norm zum Schutz des Finanzsystems (nicht des einzelnen Kunden) – in Parallele zur ständigen Rechtsprechung, wonach §§ 2, 8, 11 GwG keine Schutzgesetze sind (BGH XI ZR 56/07). Eine höchstrichterliche Klärung steht aus.
EU-Entwicklungen mit unmittelbarer Auswirkung auf deutsches Recht
EuGH C-70/25, Schlussanträge GA Rantos vom 05.03.2026: „Refund-first“-Prinzip
Der Generalanwalt beim EuGH hat in seinem Schlussantrag vom 05.03.2026 eine grundlegend kundenfreundliche Auslegung der Art. 73 und 74 PSD2 vorgeschlagen: Die Bank muss nicht autorisierte Zahlungen zunächst unverzüglich erstatten und darf die Erstattung nicht unter Verweis auf die grobe Fahrlässigkeit des Kunden verweigern. Erst in einer zweiten Phase kann die Bank im Wege des Regresses die Erstattung vom Kunden zurückfordern, wobei sie die Beweislast für dessen grobe Fahrlässigkeit trägt. Einzige Ausnahme: Die Bank hat berechtigte Gründe für den Verdacht eines Betrugs durch den Kunden selbst und meldet dies der zuständigen Behörde schriftlich. Das EuGH-Urteil steht noch aus, wird aber – statistisch betrachtet – mit hoher Wahrscheinlichkeit den Schlussanträgen folgen. Sollte sich diese Auslegung durchsetzen, müsste die deutsche Bankpraxis der routinemäßigen Erstattungsverweigerung bei grober Fahrlässigkeit grundlegend geändert werden.
EU-VO 2024/886: Verification of Payee seit Oktober 2025
Seit dem 9. Oktober 2025 ist die verpflichtende IBAN-Namensprüfung (Verification of Payee/VoP) für alle SEPA-Überweisungen in der Eurozone in Kraft. Vor jeder Überweisung gleicht die Bank des Zahlers den eingegebenen Empfängernamen mit dem bei der Empfängerbank hinterlegten Namen ab. Ergebnis: Match, Close Match oder No Match. Setzt sich der Kunde über eine No-Match-Warnung hinweg und überweist dennoch, verschiebt sich die Risikotragung erheblich zu seinen Lasten. Für Krypto-Betrug relevant: Bei Überweisungen an Krypto-Börsen (z.B. an „Foris DAX MT Ltd“ statt an eine vermeintliche Investmentgesellschaft) wird künftig eine Namensdiskrepanz angezeigt.
PSD3/PSR: Paradigmenwechsel bei Spoofing-Haftung
Am 27. November 2025 erzielten EU-Parlament und Rat eine politische Einigung über die PSD3/PSR-Paketreform. Die formelle Verabschiedung wird im ersten Halbjahr 2026 erwartet, die Anwendung ca. 2027/2028. Art. 59 PSR-E schafft erstmals eine Haftung für autorisierte, aber durch Spoofing/Impersonation erschlichene Zahlungen: Wenn sich ein Betrüger als Bankmitarbeiter ausgibt und der Kunde daraufhin eine Zahlung autorisiert, muss der Zahlungsdienstleister erstatten – vorausgesetzt, der Kunde erstattet unverzüglich Anzeige und meldet den Vorfall. Dies würde die seit BGH XI ZR 56/07 geltende Grundregel, dass autorisierte Zahlungen ausschließlich das Risiko des Kunden tragen, für eine bedeutende Fallgruppe durchbrechen.
Handlungsempfehlungen
Unsere Fachrecherche ergibt ein differenziertes Bild der Anspruchsgrundlagen bei Krypto-Betrug, das sich in fünf strategische Ansätze gliedern lässt:
- Erstens: Prüfung der Autorisierung. In jedem Fall ist vorrangig zu klären, ob die Zahlung tatsächlich autorisiert war. War der Kunde Opfer von Phishing, Call-ID-Spoofing oder wurde seine pushTAN-Freigabe für einen anderen Vorgang (z.B. „Karte registrieren“) erschlichen, liegt nach der Rechtsprechung des OLG Karlsruhe (17 U 113/23) und OLG Dresden (8 U 1482/24) möglicherweise keine Autorisierung vor – mit der Folge eines direkten Erstattungsanspruchs aus § 675u S. 2 BGB.
- Zweitens: SCA-Defizite prüfen. Selbst bei grober Fahrlässigkeit des Kunden kann nach OLG Dresden eine Mithaftung der Bank bestehen, wenn beim Online-Banking-Login keine vollwertige Zwei-Faktor-Authentifizierung implementiert war (§ 254 BGB). Nach OLG Karlsruhe schließt § 675v Abs. 4 BGB die Kundenhaftung sogar vollständig aus, wenn die Bank beim streitgegenständlichen Zahlungsvorgang keine SCA verlangt hat.
- Drittens: Empfängerbank über DSL angreifen. Nach BGH XI ZR 327/22 kann die Empfängerbank – bei der die Krypto-Plattform oder der Finanzagent sein Konto unterhält – auf Schadensersatz haften, wenn sie trotz objektiv evidenter Verdachtsmomente (BaFin-Warnungen, GwG-Auffälligkeiten, bekannte Betrugs-IBANs) nicht vor Gutschrift gewarnt hat. Erforderlich ist die Abtretung des Anspruchs durch die Hausbank des Kunden.
- Viertens: Finanzagenten direkt in Anspruch nehmen. Nach OLG Frankfurt (29 U 100/24) besteht ein deliktischer Direktanspruch gegen Geldwäscher aus § 823 Abs. 2 BGB i.V.m. § 261 StGB – ohne Mitverschuldenskürzung. Dies ist bei identifizierbaren Money Mules, die Betrugserträge weiterleiten, ein gangbarer Weg.
- Fünftens: Regulatorische Entwicklungen abwarten und nutzen. Die VoP-Pflicht (seit Oktober 2025) schafft neue Dokumentationsgrundlagen. Das ausstehende EuGH-Urteil in C-70/25 könnte das „Refund-first“-Prinzip etablieren. Die PSD3/PSR wird erstmals eine Haftung für Spoofing-induzierte autorisierte Zahlungen schaffen. Diese Entwicklungen sollten in laufende Mandatsstrategien einbezogen werden.
Zusammenfassung und Ausblick
Die deutsche Rechtsprechung zur Bankenhaftung bei Krypto-Betrug befindet sich in einer Übergangsphase. Während die Grundregel – autorisierte Zahlungen tragen das Risiko des Kunden – unverändert gilt, erodiert sie an den Rändern durch drei konvergierende Entwicklungen: die OLG-Rechtsprechung zur SCA-Mithaftung, die BGH-Präzisierung der Warnpflichten mit Beweislastumkehr und die bevorstehende EU-Regulierung mit erstmaliger Spoofing-Haftung. Gleichzeitig setzt die OLG-Rechtsprechung zu AML-Systemen (OLG Frankfurt, 23 U 8/23) der Bankenhaftung klare Grenzen. Die fehlende höchstrichterliche Klärung des Schutzgesetzcharakters von § 25h KWG und die ausstehende BGH-Revision zu OLG Karlsruhe 17 U 113/23 werden die nächsten entscheidenden Weichenstellungen sein. Für die Praxis bedeutet dies: Eine sorgfältige Einzelfallprüfung der Autorisierungskette, der technischen Sicherheitsstandards der Bank und der objektiven Erkennbarkeit von Betrugsindikatoren bleibt unverzichtbar.
Bankhaftung Kryptobetrug – Jetzt prüfen
Bankhaftung Kryptobetrug – Ihre Bank hat verdächtige Überweisungen nicht gestoppt? REXUS prüft Ihre Ansprüche gegen die Bank und koordiniert gleichzeitig Krypto Tracing und Strafanzeige. Darüber hinaus analysieren wir, ob Ihre Bank die Warnpflicht verletzt hat. Handeln Sie jetzt – Verjährungsfristen laufen.
Rechtsanwältin Anna O. Orlowa, LL.M. – REXUS Rechtsanwaltsgesellschaft 📧 kryptoschaden@rexus-recht.de 🌐 www.kryptoschaden.de