Die BaFin hat gewarnt: Die Domain gppm-gmbh.com wird von unbekannten Betreibern genutzt, um Tagesgeld- und Festgeldanlagen ohne jede Erlaubnis nach § 32 KWG anzubieten. Der Domainname suggeriert eine GmbH-Struktur — gesellschaftsrechtlich existiert dahinter nichts. Kein Handelsregistereintrag, kein verifizierbarer Unternehmenssitz, keine BaFin-Lizenz. Einziger sichtbarer Kontakt: eine E-Mail-Adresse unter Y.Schreiber@gppm-gmbh.com — personifiziert genug, um Vertrauen zu wecken, anonym genug, um spurlos zu verschwinden. Wer dort Geld eingezahlt hat, steht vor einer dringend zu klärenden Lage: Das Einlagengeschäft ist nach § 1 Abs. 1 S. 2 Nr. 1 KWG ein genehmigungspflichtiges Bankgeschäft. Wer es ohne Erlaubnis betreibt, handelt nach § 54 KWG strafbar — Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Für Anleger bedeutet das: Verträge mit nicht lizenzierten Anbietern sind nach § 134 BGB nichtig. Die eingezahlten Beträge wurden auf eine rechtlich nicht existente Grundlage gestützt. Handlungsbedarf besteht sofort.

Was steckt hinter gppm-gmbh.com: die GPPM BaFin-Warnung im Überblick?

Die BaFin hat gewarnt, dass gppm-gmbh.com Tagesgeld- und Festgeldanlagen ohne Erlaubnis nach § 32 KWG anbietet. Dahinter steht keine eingetragene GmbH, kein Handelsregistereintrag und kein verifizierbarer Unternehmenssitz. Die Warnung stützt sich auf § 37 Abs. 4 KWG und verpflichtet Geschädigte zum sofortigen Handeln.

Die BaFin-Warnung zu gppm-gmbh.com unterscheidet sich in einem Punkt von den meisten anderen Clone-Fällen: Sie beschreibt keine spektakuläre Klon-Strategie, bei der Logos, Lizenzregisternummern oder Impressum-Daten eines real existierenden Unternehmens systematisch kopiert werden. Die Betreiber sind nüchterner vorgegangen. Sie haben einen Domainnamen gewählt, der eine GmbH-Struktur suggeriert — den Suffix „-gmbh.com“ — und darunter Einlagenprodukte angeboten, die in Deutschland zu den klassischen regulierten Bankgeschäften gehören.

Tagesgeld und Festgeld sind keine Grauzone. Das Entgegennehmen fremder Gelder mit Rückzahlungsversprechen — gleichgültig ob mit oder ohne Zinsen — ist nach § 1 Abs. 1 S. 2 Nr. 1 KWG als Einlagengeschäft klassifiziert und unterliegt der strengen Erlaubnispflicht nach § 32 Abs. 1 KWG. Diese Erlaubnis erteilt ausschließlich die BaFin nach eingehender Prüfung von Eigenkapitalausstattung, Geschäftsplan, Geschäftsleiterqualifikation und Organisationsstruktur. Für gppm-gmbh.com liegt eine solche Erlaubnis nach BaFin-Erkenntnissen nicht vor.

Die BaFin stützt ihre öffentliche Warnung auf § 37 Abs. 4 KWG. Diese Norm ermächtigt die Aufsichtsbehörde ausdrücklich, die Öffentlichkeit zu informieren, wenn ein Unternehmen ohne Erlaubnis tätig wird. Von dieser Befugnis hat die BaFin mit der Warnung zu gppm-gmbh.com Gebrauch gemacht. Für betroffene Anleger ist dies ein klares Signal: Die Plattform operiert außerhalb des regulierten Finanzsystems — und damit außerhalb jedes Anlegerschutzes, der durch das Einlagensicherungsgesetz oder den gesetzlichen Rahmen für zugelassene Institute gewährt wird.

Wie funktioniert der Firmennamensmissbrauch bei solchen Plattformen?

Beim Firmennamensmissbrauch verwenden Betreiber illegaler Plattformen einen Namen, der eine legitime GmbH oder ein reguliertes Institut imitiert. Dies erzeugt bei Anlegern den Eindruck rechtlicher Seriosität. Strafrechtlich erfüllt das regelmäßig § 263 StGB (Betrug), zivilrechtlich entstehen Ansprüche nach §§ 823 Abs. 2, 826 BGB.

Das Schema ist nicht neu, aber wirkungsvoll. Der Suffix „GmbH“ im Domainnamen — auch wenn er nur als Teil einer .com-Domain erscheint — aktiviert beim durchschnittlichen Anleger eine Seriostitätsvermutung. Eine GmbH ist eingetragen, hat Gesellschafter, hat Geschäftsführer, haftet mit ihrem Gesellschaftsvermögen. Das alles sind Informationen, die in einem echten Handelsregistereintrag nachprüfbar wären — und genau das nutzen die Täter aus. Sie wissen, dass die meisten Anleger diese Prüfung nicht vornehmen.

Bei gppm-gmbh.com war die Struktur nach BaFin-Erkenntnissen vollständig anonymisiert. Die einzige identifizierbare Entität war die E-Mail-Adresse Y.Schreiber@gppm-gmbh.com — ein personifizierter Absender, der Vertrauen erzeugt, ohne in irgendeiner Weise verifizierbar zu sein. Kein Impressum mit Handelsregisternummer, keine Aufsichtsbehörde, kein Beschwerdeweg. Das ist charakteristisch für Plattformen, die von vornherein auf Spurlosigkeit ausgelegt sind.

Strafrechtlich ist der Firmennamensmissbrauch nicht trivial einzuordnen. § 263 StGB — Betrug — setzt die Täuschung über Tatsachen, die Erregung eines Irrtums und eine dadurch verursachte Vermögensverfügung voraus. Wer unter dem Namen einer inexistenten GmbH Einlagen entgegennimmt, täuscht über seine Identität und seinen Rechtsstatus. Das ist ein Irrtum über Tatsachen. Und wer in diesem Irrtum überweist, trifft eine Vermögensverfügung. Der Tatbestand ist in aller Regel erfüllt — in besonders schwerem Fall nach § 263 Abs. 3 Nr. 2 StGB (gewerbsmäßig oder als Bande), wenn mehrere Täter arbeitsteilig vorgehen oder die Tat auf Wiederholung angelegt ist.

Daneben greift § 264a StGB (Kapitalanlagebetrug), wenn im Rahmen des Vertriebs der Finanzprodukte unrichtige oder unvollständige Angaben gemacht wurden, die für die Anlageentscheidung erheblich sind. Das Verschweigen des fehlenden Erlaubnisstatus erfüllt dieses Tatbestandsmerkmal nahezu automatisch.

Was sagen §§ 32, 37 Abs. 4 und 54 KWG konkret?

§ 32 KWG begründet die Erlaubnispflicht für jedes gewerbliche Bankgeschäft in Deutschland. § 54 KWG stellt den Verstoß unter Strafe: bis zu fünf Jahre Freiheitsstrafe oder Geldstrafe. § 37 Abs. 4 KWG ermächtigt die BaFin, die Öffentlichkeit über unerlaubte Tätigkeiten zu informieren — unabhängig davon, ob ein Strafverfahren läuft.

Diese drei Normen bilden das aufsichtsrechtliche Dreieck, das bei gppm-gmbh.com greifen dürfte. § 32 Abs. 1 KWG definiert den Grundsatz: Wer im Inland gewerbsmäßig oder in einem kaufmännisch eingerichteten Umfang Bankgeschäfte betreibt oder Finanzdienstleistungen erbringt, bedarf der schriftlichen Erlaubnis der BaFin. Das gilt absolut — keine Ausnahme für Start-ups, für vermeintlich kleine Volumina, für Testbetriebe oder für ausländische Gesellschaften, die ihre Leistungen nach Deutschland exportieren.

§ 54 KWG ist die strafrechtliche Konsequenz. Die Norm sieht für das unerlaubte Betreiben von Bankgeschäften Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe vor. Bei fahrlässiger Begehung ist der Strafrahmen auf drei Jahre begrenzt — aber eine fahrlässige Unkenntnis von der Erlaubnispflicht ist kaum vorstellbar bei Betreibern, die gezielt Einlagenprodukte vermarkten. Entscheidend für die Strafbarkeit nach § 54 KWG ist das Zusammenspiel von vier Elementen: (1) das tatsächliche Betreiben eines Bankgeschäfts, (2) der gewerbliche Umfang, (3) das Fehlen einer BaFin-Erlaubnis und (4) der Vorsatz. Bei gppm-gmbh.com dürfte kein einziges dieser Elemente zweifelhaft sein.

§ 37 Abs. 4 KWG schließlich ist die aufsichtsrechtliche Brücke zur Öffentlichkeit. Diese Norm gibt der BaFin das Recht — und mitunter die Pflicht — unerlaubte Tätigkeiten bekannt zu machen, auch wenn die Strafverfolgung noch läuft oder noch gar nicht begonnen hat. Die Warnung ist keine strafrechtliche Verurteilung; sie ist ein Warnsignal der Aufsicht an den Markt. Für Anleger hat sie aber eine unmittelbare praktische Bedeutung: Sie begründet Kenntnis — und damit den Beginn von Fristen, die für eventuelle Schadensersatzansprüche relevant werden können.

Welche zivilrechtlichen Ansprüche entstehen nach einer BaFin-Warnung?

Verträge mit nicht lizenzierten Anbietern sind nach § 134 BGB nichtig, weil sie gegen ein gesetzliches Verbot verstoßen. Daneben entstehen Ansprüche aus §§ 823 Abs. 2, 826 BGB sowie bereicherungsrechtliche Ansprüche nach § 812 BGB. Die Hausbank kann nach § 675u BGB haften, wenn sie erkennbare Betrugsindizien ignoriert hat.

Die Nichtigkeit nach § 134 BGB ist der härteste zivilrechtliche Hebel. Ein Vertrag, der gegen ein gesetzliches Verbot verstößt — hier: das Verbot, ohne BaFin-Erlaubnis Einlagengeschäfte zu betreiben — ist von Anfang an nichtig. Das hat Konsequenzen für beide Seiten des Vertragsverhältnisses: Die Betreiber von gppm-gmbh.com können aus einem nichtigen Vertrag keine rechtswirksamen Rechte ableiten; Anleger können bereicherungsrechtliche Rückforderungsansprüche nach § 812 Abs. 1 BGB geltend machen, denn die geleisteten Zahlungen erfolgten ohne Rechtsgrund.

Parallel dazu stehen deliktische Ansprüche. § 823 Abs. 2 BGB gewährt Schadensersatz, wenn ein Schutzgesetz — und § 32 KWG ist ein solches, weil es gerade die Anleger vor ungeprüften Finanzanbietern schützen soll — vorsätzlich oder fahrlässig verletzt wird. § 826 BGB greift bei vorsätzlicher sittenwidriger Schädigung — ein Tatbestand, der bei systematisch auf Täuschung ausgelegten Plattformen nahezu immer erfüllt ist.

Die Hausbank kann ebenfalls in den Fokus geraten. Nach § 675u BGB haftet sie für nicht autorisierte Zahlungsvorgänge. Wenn erkennbare Betrugsindizien vorlagen — ungewöhnliche Überweisungsempfänger, atypische Kontostruktur, Massenzahlungen an dieselbe IBAN — und die Bank dennoch nicht eingeschritten ist, kommt eine Haftung nach § 280 Abs. 1 BGB in Betracht. Das setzt freilich voraus, dass die Indizien tatsächlich erkennbar waren und die Bank ihre Prüfpflichten nach § 25h KWG verletzt hat.

Anspruchsgrundlage	Voraussetzung	Zielgegner
§ 134 BGB i.V.m. § 32 KWG	Vertrag mit unlizenziertem Anbieter (Nichtigkeit)	gppm-gmbh.com-Betreiber
§ 812 Abs. 1 BGB	Zahlung ohne Rechtsgrund (nichtiger Vertrag)	gppm-gmbh.com-Betreiber
§ 823 Abs. 2 BGB i.V.m. § 32 KWG	Vorsätzlicher Verstoß gegen Schutzgesetz	gppm-gmbh.com-Betreiber
§ 826 BGB	Vorsätzliche sittenwidrige Schädigung	gppm-gmbh.com-Betreiber
§ 675u BGB	Nicht autorisierter Zahlungsvorgang	Hausbank des Anlegers
§ 280 Abs. 1 BGB	Verletzung von Prüfpflichten nach § 25h KWG	Hausbank des Anlegers
DSGVO Art. 82	Kompromittierung personenbezogener Daten	Plattformbetreiber

Wie unterscheidet sich das GPPM-Schema von klassischen Clone-Firmen?

Während klassische Clone-Firmen Lizenzregisternummern und Impressum-Daten real existierender Institute kopieren, setzt gppm-gmbh.com auf eine subtilere Identitätsvortäuschung: Ein GmbH-suggestiver Domainname ohne gesellschaftsrechtliches Fundament. Das ist aufsichtsrechtlich gleichrangig gefährlich, strafrechtlich aber eigenständig zu bewerten.

Die BaFin-Warnungspraxis unterscheidet verschiedene Kategorien des Identitätsmissbrauchs. Die spektakulärste Variante — und die, die medial am meisten Aufmerksamkeit erzeugt — ist der vollständige Clone: Eine Plattform übernimmt Namen, Logo, Registriernummer und Anschrift eines tatsächlich autorisierten Instituts. Anleger glauben, mit dem echten Institut zu kommunizieren. Die britische Financial Conduct Authority hat mit solchen Fällen umfangreiche Erfahrung, ebenso die BaFin.

Das Modell von gppm-gmbh.com ist subtiler — und darin liegt eine besondere Tücke. Hier wurde kein spezifisches existierendes Unternehmen kopiert. Die Betreiber haben stattdessen einen generischen Namen gewählt, der durch das Kürzel „GPPM“ und den Suffix „-gmbh.com“ eine institutionelle Struktur andeutet. Anleger, die googlen, finden kein echtes Unternehmen mit diesem Namen — aber das Fehlen eines klaren Originals macht die Täuschung schwerer durchschaubar, nicht leichter. Es gibt schließlich kein bekanntes Opfer-Unternehmen, das warnt, und keine Pressemitteilung einer betroffenen Gesellschaft.

Handelsrechtlich gilt: Der Zusatz „GmbH“ oder „gmbh“ — auch im nicht-formalen Gebrauch in einer Domain — suggeriert eine bestimmte Gesellschaftsform mit gesellschaftsrechtlichen Pflichten. § 18 Abs. 2 HGB verbietet eine Firma, die geeignet ist, über wesentliche Verhältnisse des Unternehmens irrezuführen. Wäre gppm-gmbh.com als deutsches Unternehmen tätig, wäre die Nutzung des Rechtsformzusatzes ohne tatsächliche GmbH-Eintragung nach § 37 HGB ordnungswidrig und zivilrechtlich angreifbar.

„Das Fehlen eines Handelsregistereintrags ist kein Schönheitsfehler — es ist das zentrale Warnsignal. Wer im Einlagengeschäft tätig ist, ohne als GmbH oder anderes Haftungssubjekt eingetragen zu sein, versteckt sich hinter einem Namen. Das ist nicht nachlässig. Das ist Methode.“

Wie lässt sich ein Unternehmen vor dem Investieren verifizieren?

Die BaFin stellt unter bafin.de ein öffentliches Unternehmensregister bereit. Dort ist jedes erlaubt tätige Institut eingetragen. Parallel prüft das elektronische Handelsregister (unternehmensregister.de) Firma, Sitz und Geschäftsführung. Fehlt ein Eintrag in beiden Registern, ist das keine Bagatelle.

Die Überprüfung eines Finanzanbieters vor der Einzahlung dauert in der Praxis weniger als fünf Minuten und erfordert kein rechtliches Vorwissen. Zwei Schritte sind hinreichend:

1. BaFin-Datenbank: Unter portal.mvp.bafin.de ist das Institutssuchportal der BaFin zugänglich. Dort sind alle in Deutschland erlaubt tätigen Kreditinstitute, Finanzdienstleistungsinstitute und Zahlungsinstitute verzeichnet. Wer dort nicht auftaucht, darf in Deutschland kein Einlagengeschäft betreiben.
2. Elektronisches Handelsregister: Unter unternehmensregister.de lassen sich bundesweit eingetragene Gesellschaften suchen. Eine GmbH, die diesen Namen trägt, findet sich dort — oder sie existiert gesellschaftsrechtlich nicht.
3. EU-ESA-Register: Für EU-weit agierende Institute bietet die Europäische Wertpapier- und Marktaufsichtsbehörde ESMA unter registers.esma.europa.eu ein Register der gemeldeten Unternehmen.
4. WHOIS-Abfrage der Domain: Eine einfache WHOIS-Abfrage zeigt Registrierungsdatum und Registrar der Domain. Eine erst kürzlich registrierte Domain mit anonymisierten Registrierungsdaten ist ein starkes Warnsignal — regulierte Institute haben in der Regel langjährige Internetpräsenz.
5. Impressumsprüfung: Ein rechtskonformes Impressum nach § 5 TMG enthält Handelsregistereintrag, Registergericht und Registernummer. Fehlen diese Angaben, ist das ein Verstoß — und bei einem angeblichen Finanzdienstleister ein Warnsignal erster Ordnung.

Bei gppm-gmbh.com wäre die BaFin-Suche ergebnislos verlaufen — und das Handelsregister hätte keinen Treffer geliefert. Zwei ergebnislose Suchen hätten gereicht, um die gesamte Investition abzuwenden.

Welche Rolle spielen EU-Regulierung und GwG bei grenzüberschreitenden Fällen?

Sobald eine Plattform grenzüberschreitend operiert, greifen neben dem KWG auch EU-Vorschriften: EU 2023/1113 (TFR II) über Angaben zu Kryptowertübertragungen, das GwG mit seinen Sorgfaltspflichten für Verpflichtete und MiCAR (EU-VO 2023/1114) für Kryptowertedienstleister. Verstöße gegen diese Normen sind in Deutschland durch § 261 StGB (Geldwäsche) strafbewehrt.

Plattformen wie gppm-gmbh.com operieren selten ausschließlich innerhalb eines Landes. Die Betreiber sitzen häufig in Drittstaaten, nutzen internationale Serverinfrastrukturen und empfangen Gelder über Bankverbindungen in mehreren Jurisdiktionen. Das macht die Strafverfolgung schwieriger, aber keineswegs aussichtslos — denn der europäische Rechtsrahmen setzt dem erhebliche Gegeninstrumente entgegen.

Die Verordnung EU 2023/1113 (Transfer of Funds Regulation II, TFR II) verpflichtet Kryptowerte-Dienstleister, bei jeder Übertragung vollständige Angaben über Auftraggeber und Empfänger mitzuführen. Das betrifft auch Wallets, über die Gelder aus betrügerischen Einlagengeschäften abgewickelt werden. Wenn ein beaufsichtigter Dienstleister diese Pflicht verletzt, drohen ihm aufsichtsrechtliche Sanktionen — und die zugeleiteten Informationen können Strafverfolgungsbehörden nutzen, um Zahlungsflüsse zu rekonstruieren.

Das Geldwäschegesetz (GwG) und seine Sorgfaltspflichten nach §§ 10 ff. GwG treffen alle Verpflichteten — also insbesondere Banken, Zahlungsdienstleister und Kryptowerte-Dienstleister — unabhängig davon, ob die Gegenpartei eines Vorgangs eine lizenzierte oder eine unerlaubt tätige Plattform ist. Wer Gelder an eine als verdächtig eingestufte Adresse oder Domain weiterleitet, ohne seiner Identifizierungs- und Meldepflicht nachzukommen, haftet für dieses Versäumnis. Die Financial Intelligence Unit (FIU) beim Zoll ist nach § 43 GwG zu unterrichten; sie leitet relevante Informationen an Strafverfolgungsbehörden weiter.

Für Anleger in Krypto-Sachverhalten bedeutet das: Auch wenn die Betreiber von gppm-gmbh.com persönlich schwer greifbar sind, hinterlässt jede Zahlung über regulierte Intermediäre Spuren — Spuren, die im Rahmen eines Ermittlungsverfahrens auswertbar sind. Die Erfahrung aus vergleichbaren BaFin-Warnungsfällen zeigt, dass koordinierte Strafanzeigen von mehreren Geschädigten die Ermittlungsressourcen der Staatsanwaltschaft bündeln und die Priorität des Falls erhöhen.

Bedeutet die BaFin-Warnung automatisch strafrechtliche Konsequenzen für die Betreiber? Nein —

Eine BaFin-Verbrauchermitteilung nach § 37 Abs. 4 KWG ist eine aufsichtsrechtliche Maßnahme, keine strafrechtliche Entscheidung. Sie stellt fest, dass nach Erkenntnisstand der BaFin ohne Erlaubnis gehandelt wird — begründet aber kein Urteil und keine Schuldvermutung im Sinne der Unschuldsvermutung nach Art. 6 Abs. 2 EMRK. Die Einleitung eines Strafverfahrens obliegt nach § 152 StPO allein der Staatsanwaltschaft, die bei Anfangsverdacht — und eine BaFin-Warnung begründet diesen in der Regel — ermittelt. Ob es zu einer Anklage und Verurteilung kommt, entscheidet das Gericht. Die BaFin-Warnung ist aber ein starkes Indiz, das Strafanzeigen von Geschädigten erheblich stärkt.

Was bedeutet das für die Einziehung von Taterlösen?

§ 73 StGB i.V.m. §§ 73a, 73c StGB und § 111b StPO ermöglichen die Einziehung von Taterlösen bereits im Ermittlungsverfahren durch Vermögensarrest. Der Staatsanwaltschaft steht dafür § 111e StPO zur Verfügung. Bei anonymisierten Strukturen wie gppm-gmbh.com ist die Rückverfolgung von Kryptozahlungen via Blockchain-Tracing erfolgversprechend.

Ein zentrales Instrument der Strafverfolgung ist die Einziehung. Nach §§ 73, 73a, 73c StGB ist die Einziehung des Erlangten zwingend vorgesehen — das schließt auch Surrogate und wirtschaftliche Vorteile ein. Die Staatsanwaltschaft kann bereits im Ermittlungsstadium nach § 111b StPO einen Vermögensarrest beantragen, um Taterlöse zu sichern, bevor sie abgeflossen sind. Das Gericht ordnet den Arrest nach § 111e StPO an; der Beschluss ist sofort vollziehbar.

Bei Plattformen mit anonymisierter Struktur ist die praktische Herausforderung erheblich. Wenn Zahlungen über Kryptowährungen abgewickelt wurden — was bei solchen Plattformen nicht selten ist — kommt Blockchain-Tracing zum Einsatz. Dabei werden Transaktionspfade auf der Blockchain analysiert, um Wallet-Adressen zu identifizieren, die mit dem Tatgeschehen in Verbindung stehen. Solche Adressen können bei Exchange-Plattformen über einen gerichtlichen Auskunftsanspruch nach § 111p StPO mit realen Identitäten verknüpft werden, sofern die Plattform einer KYC-Pflicht unterliegt. Das Ergebnis ist keine Zusicherung einer Vollrückzahlung — aber der Ansatz hat in vergleichbaren Fällen zu Kontosperrungen und Mittelrückführungen geführt.

Für Anleger, die per Banküberweisung gezahlt haben, ist der Weg über § 675u BGB direkt bei der eigenen Hausbank der schnellste erste Schritt. Die Bank ist zu unverzüglicher Reaktion verpflichtet, wenn ein nicht autorisierter Zahlungsvorgang vorliegt. Parallel ist eine Strafanzeige bei der zuständigen Staatsanwaltschaft zu erstatten — mit vollständigen Überweisungsbelegen, Screenshots der Plattform und allen verfügbaren E-Mail-Korrespondenzen.

Was Geschädigte jetzt tun

Betroffene von gppm-gmbh.com handeln in sieben Schritten: Beweise sichern, Hausbank schriftlich informieren, Strafanzeige erstatten, personenbezogene Daten prüfen, zivilrechtliche Ansprüche sondieren, Verjährungsfristen beachten und rechtliche Beratung einholen. Untätigkeit verlängert keine Fristen, verschlechtert aber die Beweislage.

• Beweise sofort sichern: Alle Kontoauszüge, Überweisungsbelege, Screenshots der Plattform, E-Mails, Chat-Verläufe und Vertragsdokumente vollständig sichern und digital wie physisch aufbewahren. Websiteinhalte können schnell verschwinden — jetzt archivieren.
• Hausbank schriftlich informieren: Per Einschreiben mit Rückschein die Bank über die Zahlung an gppm-gmbh.com informieren und eine Haftungsprüfung nach § 675u BGB einfordern. Dem Brief alle Belege beilegen. Mündliche Meldungen reichen nicht aus.
• Strafanzeige erstatten: Bei der örtlichen Polizei oder direkt bei der Staatsanwaltschaft eine fundierte Strafanzeige einreichen — unter Nennung aller bekannten Kontodaten, der Domain, der E-Mail-Adresse Y.Schreiber@gppm-gmbh.com und aller Transaktionsdetails. Die Staatsanwaltschaft leitet nach § 152 StPO bei Anfangsverdacht ein Ermittlungsverfahren ein.
• Personenbezogene Daten prüfen: Wer auf der Plattform Name, Adresse, Ausweisdaten oder Bankverbindung hinterlassen hat, prüft Ansprüche nach DSGVO Art. 82. Dieser Schadensersatzanspruch gilt auch gegenüber nicht lizenzierten Betreibern und ist unabhängig vom strafrechtlichen Verfahren.
• Zivilrechtliche Ansprüche prüfen: Bereicherungsrechtliche Rückforderung nach § 812 BGB, deliktische Ansprüche nach § 823 Abs. 2 BGB, § 826 BGB sowie Bankenhaftung nach § 675u BGB — alle parallel prüfen lassen. Die Ansprüche verjähren unterschiedlich.
• Verjährungsfristen im Blick behalten: Deliktische Ansprüche nach § 199 Abs. 1 BGB verjähren drei Jahre ab Kenntnis von Schaden und Schädiger — die Kenntnis kann mit der BaFin-Warnung einsetzen. Bereicherungsansprüche folgen derselben Frist. Wer zu lange wartet, verliert Ansprüche.
• Rechtliche Beratung in Anspruch nehmen: Bei der Kombination aus aufsichtsrechtlichem, strafrechtlichem und zivilrechtlichem Handlungsbedarf ist spezialisierte Rechtsberatung im Bank- und Kapitalmarktrecht sinnvoll. Verbraucherzentralen bieten erste Orientierung. Für darüber hinausgehende Schritte ist anwaltliche Beratung durch im Gebiet erfahrene Kanzleien der richtige Weg.

Eine BaFin-Warnung ist kein Schlussstrich — sie ist der Startpunkt für rechtliches Handeln. Die Warnung dokumentiert, dass die Aufsichtsbehörde das Geschäftsmodell von gppm-gmbh.com als unerlaubt eingestuft hat. Darauf aufbauend lassen sich strafrechtliche und zivilrechtliche Wege beschreiten, die ohne diese Dokumentation wesentlich schwerer zu gehen wären. Weitere Informationen zu laufenden BaFin-Warnungen und zur Einordnung ähnlicher Fälle finden sich unter kryptoschaden.de/aktuelle-warnungen. Ergänzende Hintergründe zur parallelen BaFin-Warnwelle, in der gppm-gmbh.com gemeinsam mit vier weiteren Plattformen erfasst wurde, bietet die Warnungsarchiv auf kryptoschaden.de.