kryptoschaden.de

Die drei Haftungsschienen bei Kryptobetrug — Kundenbank, Empfängerbank und Finanzagent — bilden das rechtliche Gerüst für Schadensersatzansprüche, wenn das Opfer seine Gelder bei Pig Butchering, Romance Scam oder klassischem Investment Fraud selbst überwiesen hat und die Zahlung daher als autorisiert gilt. Die drei Haftungsschienen bei Kryptobetrug erfordern unterschiedliche Anspruchskonstruktionen und eine abgestimmte Beweissicherungsstrategie. Damit scheidet der direkte Erstattungsanspruch aus § 675u S. 2 BGB regelmäßig aus. Geschädigte sind dennoch nicht rechtlos: Die Rechtsprechung des BGH aus den Jahren 2024 bis 2026 hat drei belastbare Haftungsschienen herausgearbeitet, die je nach Sachverhalt einzeln oder kombiniert verfolgt werden können.

Die entscheidende Weichenstellung: autorisiert oder nicht autorisiert?

Bevor eine Haftungsschiene gewählt wird, steht eine Grundsatzfrage: Hat der Kunde den Zahlungsvorgang selbst im Sinne von § 675j BGB autorisiert, oder wurde die Freigabe durch Täuschung erschlichen? Bei klassischem Krypto-Anlagebetrug überweist das Opfer eigenständig auf ein Konto der Betrugsplattform. Die Zahlung ist damit autorisiert — auch wenn der Kunde über den Anlagezweck und die Seriosität der Plattform getäuscht wurde. Der Irrtum über den Verwendungszweck hebt die Autorisierung nicht auf.

Anders verhält es sich bei Phishing, Spoofing oder Social Engineering, bei denen Betrüger dem Opfer eine Transaktionsfreigabe entlocken, ohne dass dieses den konkreten Zahlungsvorgang überblickt. In diesen Konstellationen liegt keine wirksame Autorisierung vor. Der BGH hat in XI ZR 107/22 vom 05.03.2024 klargestellt, dass der Zahlungsdienstleister nach § 675w BGB die volle Beweislast für die tatsächliche Autorisierung durch den Kunden trägt. Ein technisch ordnungsgemäß durchlaufenes Authentifizierungsverfahren genügt dafür nicht.

Für Phishing-Fälle gilt seit BGH XI ZR 20/24 vom 03.03.2026 zudem: chipTAN bleibt starke Kundenauthentifizierung (SCA). Eine grob fahrlässige TAN-Weitergabe durch den Kunden führt allerdings nicht automatisch zur vollständigen Haftungsfreistellung der Bank; dem Argument der Bank kann das Prinzip dolo agit entgegengehalten werden, wenn sie selbst Sorgfaltspflichten verletzt hat.

Haftungsschiene 1: Die Kundenbank (Hausbank des Opfers)

Liegt eine nicht autorisierte Zahlung vor, greift § 675u S. 2 BGB unmittelbar: Die Hausbank erstattet den Betrag ohne weiteres Verschuldenserfordernis. Liegt dagegen eine autorisierte Zahlung vor — der Regelfall bei Krypto-Anlagebetrug —, scheidet dieser Anspruch aus. Dann lautet die einschlägige Anspruchsgrundlage § 241 Abs. 2 BGB i.V.m. § 280 Abs. 1 BGB: Warnpflichtverletzung.

Die Hausbank ist im Rahmen des Zahlungsdienstvertrags verpflichtet, den Kunden vor einem Zahlungsvorgang zu warnen, wenn objektiv evidente massive Verdachtsmomente für einen Betrug vorliegen. Diese Schwelle ist hoch. Die BGH-Linie (XI ZR 56/07; XI ZR 327/22) verlangt konkrete, von außen erkennbare Hinweise — etwa eine dokumentierte BaFin-Warnung zur Empfängerplattform, das Vorhandensein der Empfänger-IBAN in einer Betrugsdatenbank oder eine für das Konto atypische Transaktion in erheblicher Höhe an einen bisher unbekannten Empfänger im Ausland. Allgemeine interne AML-Alerts genügen nach OLG Frankfurt (23 U 8/23) nicht, da Compliance-Systeme primär der Geldwäscheprävention dienen und keinen individuellen Kundenschutz bezwecken.

Bei grob fahrlässigem Verhalten des Kunden kann die Bank ihrerseits einen Gegenanspruch nach § 675v Abs. 3 Nr. 2 BGB geltend machen; dieser Gegenanspruch ist jedoch auf den nachgewiesenen Schaden beschränkt und beeinflusst die Warnpflichthaftung der Bank aus § 241 Abs. 2 BGB nicht.

Flankierend kommt § 25h KWG ins Spiel: Die Norm verpflichtet Kreditinstitute zu einem systematischen Transaktionsmonitoring. Ob § 25h KWG Schutzgesetzcharakter im Sinne von § 823 Abs. 2 BGB besitzt, ist höchstrichterlich noch nicht abschließend geklärt; in der Instanzrechtsprechung wird die sorgfaltsbegründende Wirkung jedoch zunehmend anerkannt. Ergänzend ist zu prüfen, ob die Bank beim Login keine starke Kundenauthentifizierung verlangt hat: Das OLG Dresden (8 U 1482/24) erkannte fehlende SCA beim Login als eigenständigen Mithaftungsgrund an und wandte § 254 BGB in einer Aufteilung von 80 % Kunden- zu 20 % Bankverschulden an.

Haftungsschiene 2: Die Empfängerbank

Die Bank, bei der die Betrugsplattform oder ein Finanzagent ihr Konto unterhält, steht in keiner direkten Vertragsbeziehung zum Geschädigten. Im mehrgliedrigen Zahlungsverkehr gibt es nach BGH XI ZR 327/22 vom 14.05.2024 keinen Vertrag mit Schutzwirkung zugunsten Dritter. Der Anspruchsweg führt deshalb über die Drittschadensliquidation (DSL): Die Hausbank des Opfers hat einen Anspruch gegen die Empfängerbank, weil sie den Schaden des Kunden über das Zahlungsnetzwerk vermittelt hat. Dieser Anspruch wird durch Abtretung auf den Geschädigten übertragen.

Für die Warnpflichtverletzung der Empfängerbank gilt derselbe Maßstab wie bei der Hausbank: Nur bei objektiv evidenten Verdachtsmomenten entsteht eine Pflicht, die Gutschrift zu verzögern oder zu verweigern. Beispiele hierfür sind eine aufsichtsrechtliche Untersagungsverfügung gegen den Kontoinhaber, bekannte Betrugs- oder Geldwäschemuster sowie FINMA- oder BaFin-Warnungen, von denen die Empfängerbank Kenntnis hatte oder hätte haben können. Liegt eine solche Pflichtverletzung vor, greift die Vermutung aufklärungsrichtigen Verhaltens: Es wird vermutet, dass der Geschädigte nicht gezahlt hätte, wenn er rechtzeitig gewarnt worden wäre — die Beweislastumkehr trifft die Empfängerbank.

Praktisch bedeutsam ist, dass der Geschädigte für eine eigene Klage gegen die Empfängerbank zwingend die Abtretung der DSL-Ansprüche durch seine Hausbank benötigt. Ohne diese Abtretung besteht kein eigenes Klagerecht. Anwältliche Beharrlichkeit bei der Korrespondenz mit der Hausbank ist hier entscheidend. Für die Verjährung abgetretener DSL-Ansprüche kommt es nach BGH XI ZR 327/22 auf den Kenntnisstand des Zedenten — also der Hausbank — an.

Haftungsschiene 3: Der Finanzagent

Finanzagenten (auch Money Mules genannt) stellen ihr Konto oder ihre Krypto-Wallet wissentlich oder leichtfertig für die Weiterleitung von Betrugserlösen zur Verfügung. Gegen identifizierbare Finanzagenten besteht ein direkter deliktischer Anspruch aus § 823 Abs. 2 BGB i.V.m. § 261 StGB. § 261 StGB ist Schutzgesetz im Sinne des § 823 Abs. 2 BGB, weil er den Schutz von Vermögenswerten vor Geldwäsche bezweckt. Bereits Leichtfertigkeit nach § 261 Abs. 5 StGB reicht als Tatbestand aus — wer offensichtliche Hinweise auf die kriminelle Herkunft der Gelder ignoriert, handelt leichtfertig.

Daneben kommt § 826 BGB in Betracht, wenn dem Finanzagenten sittenwidrige vorsätzliche Schädigung nachgewiesen werden kann. Nach OLG Frankfurt (29 U 100/24) wird ein etwaiges Mitverschulden des Opfers bei diesem Anspruch nicht angerechnet, auch wenn den Geschädigten grobe Fahrlässigkeit trifft. Das macht die Haftungsschiene gegen den Finanzagenten besonders attraktiv, wenn das Opfer selbst leichtfertig gehandelt hat.

Praktisch ist diese Schiene oft die realistischste: Finanzagenten sind häufig im Inland ansässig, identifizierbar und verfügen über pfändbares Vermögen. Zur Sicherung des Anspruchs stehen § 916 ZPO (dinglicher Arrest) und § 935 ZPO (einstweilige Verfügung) zur Verfügung. Voraussetzung für den Arrest ist ein Arrestanspruch (der deliktische Schadenersatzanspruch) und ein Arrestgrund (Besorgnis der Vermögensvereitelung). Kryptowährungsbestände können als sonstige Vermögensrechte im Sinne von § 857 ZPO gepfändet werden.

Was bedeutet das für Geschädigte?

  • § 675u BGB ist nicht der erste Ansatz: Bei autorisiertem Krypto-Anlagebetrug greift der direkte Erstattungsanspruch nicht. Die Haftung der Bank über Warnpflichtverletzungen nach § 241 Abs. 2, § 280 Abs. 1 BGB ist konstruktionsaufwendiger, aber nicht aussichtslos.
  • DSL erfordert aktive Mitwirkung: Die Klage gegen die Empfängerbank setzt die Abtretung der DSL-Ansprüche durch die Hausbank voraus. Ohne dieses Dokument fehlt die Aktivlegitimation. Geschädigte sollten ihre Hausbank frühzeitig und schriftlich zur Abtretung auffordern.
  • Finanzagenten bieten den direktesten Zugriff: Wenn der Finanzagent identifiziert ist, besteht ein deliktischer Direktanspruch ohne den Umweg über die Bankbeziehung. Sicherungsmaßnahmen nach §§ 916, 935 ZPO sind sofort einzuleiten.
  • Beweise verfallen schnell: Kommunikationsverläufe, Plattform-Screenshots, Wallet-Adressen und Transaktionsbelege sollten unverzüglich gesichert werden, bevor Plattformen abgeschaltet werden oder Beweise gelöscht werden.

Die drei Schienen schließen sich nicht gegenseitig aus. In komplexen Fällen — etwa wenn Phishing und Investitionsbetrug kombiniert auftraten — können Ansprüche gegen Kundenbank, Empfängerbank und Finanzagent nebeneinander verfolgt werden. Dabei ist die interne Fünf-Schritte-Strategie zur Asset Recovery als prozessbegleitender Rahmen zu empfehlen.

Welche Schritte sind jetzt sinnvoll?

  1. Sachverhalt klassifizieren: Klären Sie zunächst, ob die Zahlung autorisiert oder nicht autorisiert war. Prüfen Sie, ob eine Phishing- oder Spoofing-Komponente vorliegt, die die Autorisierung entfallen lässt. Von dieser Weichenstellung hängt die gesamte weitere Strategie ab.
  2. Beweise umgehend sichern: Sichern Sie alle Kommunikationsverläufe (E-Mail, Messenger, Chat), Plattform-Screenshots, Kontoauszüge, Transaktionsbelege und Wallet-Adressen. Notieren Sie Datum und Uhrzeit jedes relevanten Vorgangs.
  3. Kundenbank schriftlich kontaktieren: Richten Sie ein anwaltliches Schreiben an die Hausbank, das die objektiv evidenten Verdachtsmomente benennt, eine Warnpflichtverletzung nach §§ 241 Abs. 2, 280 Abs. 1 BGB geltend macht und ausdrücklich die Abtretung etwaiger DSL-Ansprüche gegen die Empfängerbank fordert.
  4. Empfängerbank identifizieren und DSL vorbereiten: Ermitteln Sie die Empfängerbank über Krypto-Tracing-Dienste, eine FIU-Anfrage oder im Rahmen einer Strafanzeige (§§ 158, 163 StPO). Sobald die Abtretung durch die Hausbank vorliegt, kann die DSL-Klage gegen die Empfängerbank vorbereitet werden.
  5. Finanzagenten identifizieren und Sicherung beantragen: Ermitteln Sie den Kontoinhaber oder Wallet-Besitzer. Beantragen Sie unverzüglich einen dinglichen Arrest nach § 916 ZPO, um einer Vermögensvereitelung zuvorzukommen. Kryptowährungsbestände können nach § 857 ZPO gepfändet werden.

Häufige Fragen

Haftet die Hausbank auch dann, wenn ich die Überweisung selbst ausgelöst habe?

Ja, eine Haftung ist auch bei autorisierten Zahlungen möglich — allerdings nicht aus § 675u BGB, sondern aus §§ 241 Abs. 2, 280 Abs. 1 BGB wegen Warnpflichtverletzung. Voraussetzung ist, dass der Bank vor der Ausführung objektiv evidente massive Verdachtsmomente für einen Betrug bekannt waren oder bei pflichtgemäßer Sorgfalt bekannt gewesen wären. Das gilt zum Beispiel, wenn die Empfänger-IBAN in einer BaFin-Warnung aufgeführt oder die Plattform aufsichtsrechtlich untersagt war.

Was ist Drittschadensliquidation, und warum brauche ich eine Abtretung?

Im mehrgliedrigen Zahlungsverkehr steht nur der Hausbank ein vertraglicher Anspruch gegen die Empfängerbank zu. Der wirtschaftliche Schaden aber trifft den Kunden. Über die Drittschadensliquidation kann die Hausbank den Schaden des Kunden geltend machen. Damit der Kunde diesen Anspruch selbst klagen kann, braucht er eine Abtretung durch die Hausbank. Ohne diese Abtretung fehlt ihm die Aktivlegitimation im Prozess.

Kann ich direkt gegen den Finanzagenten vorgehen, selbst wenn ich selbst leichtfertig war?

Nach OLG Frankfurt (29 U 100/24) ist der Direktanspruch aus § 823 Abs. 2 BGB i.V.m. § 261 StGB gegen den Finanzagenten nicht durch ein Mitverschulden des Opfers nach § 254 BGB zu kürzen, selbst wenn der Geschädigte grob fahrlässig gehandelt hat. Das macht diese Schiene besonders interessant, wenn der Geschädigte sich auf erkennbar unseriöse Plattformen eingelassen hat. Voraussetzung bleibt die Identifizierung und der Nachweis von Vorsatz oder Leichtfertigkeit des Finanzagenten nach § 261 Abs. 5 StGB.

Wie schnell verjähren die Ansprüche?

Vertragliche Ansprüche gegen die Hausbank verjähren nach der regelmäßigen Verjährungsfrist von drei Jahren (§ 195 BGB), beginnend mit Kenntnis oder grob fahrlässiger Unkenntnis des Schadens und der Person des Schuldners. Bei abgetretenen DSL-Ansprüchen kommt es nach BGH XI ZR 327/22 auf den Kenntnisstand der abtretenden Hausbank an. Deliktische Ansprüche gegen den Finanzagenten aus § 823 Abs. 2 BGB i.V.m. § 261 StGB unterliegen ebenfalls der dreijährigen Frist. Verjährung lässt sich durch Klageerhebung oder Zustellung eines Mahnbescheids hemmen.

Einordnung

Die drei Haftungsschienen bei autorisiertem Kryptobetrug sind kein starres System, sondern ein flexibles Instrumentarium, das die aktuelle BGH-Linie — von XI ZR 107/22 bis XI ZR 327/22 — mit den deliktischen Anspruchsgrundlagen des allgemeinen Zivilrechts verbindet. Mit dem Inkrafttreten von MiCAR (VO 2023/1114) und dem zu erwartenden Umsetzungsgesetz zur RL 2024/1260 werden Sorgfaltspflichten für Krypto-Dienstleister weiter konkretisiert — was die Warnpflichtargumentation gegenüber Kundenbanken und Empfangsdienstleistern in Zukunft erleichtern dürfte. Bis dahin kommt es auf eine sorgfältige Sachverhaltsanalyse, gesicherte Beweislage und die konsequente Nutzung aller drei Schienen an. Ergänzende Hinweise zum BGH-Urteil XI ZR 20/24 zur chipTAN-Problematik vertiefen den SCA-Kontext.