kryptoschaden.de

Donnerstag, 8. Mai 2026, kurz nach 14 Uhr. Sie haben 22.000 Euro auf eine Plattform überwiesen, die sich als zugelassener Krypto-Dienstleister ausgab. Dann erscheint die BaFin-Meldung auf dem Bildschirm: nordstate.org — unerlaubte Kryptowerte-Dienstleistungen, Warnung nach § 10 Abs. 7 KMAG. Nicht nach dem alten § 37 Abs. 4 KWG, sondern nach einer Norm, die bisher noch kein einziges Mal in einer BaFin-Krypto-Warnung erschienen war. Was bedeutet das für Sie? Welche Rechte haben Sie ab diesem Moment? Und warum verändert diese eine Zitatstelle die Beweislage in Ihrem Fall fundamental?

Was ist KMAG § 10 Abs. 7 — und warum ist er jetzt relevant?

KMAG § 10 Abs. 7 ist die nationale Rechtsgrundlage, auf der die Bundesanstalt für Finanzdienstleistungsaufsicht öffentliche Warnungen aussprechen darf, sobald Tatsachen die Annahme rechtfertigen oder feststeht, dass ein Unternehmen unerlaubte Kryptowerte-Geschäfte erbringt. Das Kryptomärkteaufsichtsgesetz ist seit dem 30. Dezember 2024 in Kraft und seit dem 10. Februar 2026 in der durch das Standortförderungsgesetz angepassten Fassung vollständig anwendbar. Am 8. Mai 2026 zitierte die BaFin diese Norm zum ersten Mal in einer Verbraucherwarnung — eine regulatorische Zäsur, die für jeden Geschädigten unmittelbar verwertbare Konsequenzen hat.

Der Gesetzestext von § 10 Abs. 7 KMAG lautet in seinem ersten Satz wortgetreu: „Soweit und solange Tatsachen die Annahme rechtfertigen oder feststeht, dass ein Unternehmen unerlaubte Geschäfte nach § 9 Absatz 1 Satz 1 erbringt, kann die Bundesanstalt die Öffentlichkeit unter Nennung des Namens oder der Firma des Unternehmens über den Verdacht oder diese Feststellung informieren.“ Satz 2 erweitert die Norm auf Unternehmen, die den entsprechenden Anschein lediglich erwecken. Satz 3 statuiert eine Anhörungspflicht vor Veröffentlichung. Satz 4 verpflichtet die BaFin zur öffentlichen Korrektur, falls sich die Informationen als unrichtig erweisen. Diese viergliedrige Struktur unterscheidet die Norm dogmatisch erheblich von der bisherigen Praxis auf Basis des Kreditwesengesetzes — mit Wirkungen, die Sie als potenziell Geschädigter unmittelbar betreffen.

Bezugsnorm dieser Warnbefugnis ist § 9 Abs. 1 Satz 1 KMAG: das Verbot, gewerblich Kryptowerte-Dienstleistungen im Sinne der MiCAR (EU-Verordnung 2023/1114) ohne die erforderliche Zulassung als Crypto-Asset Service Provider (CASP) zu erbringen. Dieser Zulassungszwang gilt ohne Bagatellschwelle — jede gewerbliche Verwahrung, jeder Tausch, jede Verwaltung von Kryptowerten in der Europäischen Union bedarf einer förmlichen CASP-Zulassung nach Art. 59 MiCAR. Es gibt keinen erlaubnisfreien Kleinanbieter-Korridor. Wer ihn nicht hat und dennoch tätig wird, erfüllt den Tatbestand des § 9 Abs. 1 Satz 1 KMAG — und gibt der BaFin damit das Werkzeug, ihn öffentlich zu benennen.

📣 Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

▶ Jetzt @kryptobetrug_anwaeltin auf Telegram folgen

Warum ist das KMAG die nationale Umsetzung der MiCAR — und was bedeutet das für Sie?

Das KMAG ist die deutsche Vollzugsnorm zur Verordnung (EU) 2023/1114 über Märkte für Kryptowerte, kurz MiCAR. Diese EU-Verordnung ist seit dem 30. Dezember 2024 in Deutschland vollständig anwendbar; die Anpassungen durch das Standortförderungsgesetz traten am 10. Februar 2026 in Kraft. Weil MiCAR als EU-Verordnung unmittelbar gilt, aber einer nationalen Aufsichtsbehörde bedarf, schafft das KMAG die institutionelle Grundlage: Es benennt die BaFin als zuständige nationale Behörde, verleiht ihr Eingriffsbefugnisse, definiert Bußgeld- und Straftatbestände und — entscheidend — gibt ihr in Absatz 7 dieser Norm die Befugnis zur öffentlichen Warnung.

Für Sie als Betroffenen bedeutet dieses regulatorische Gefüge: Sobald die BaFin diese Norm zitiert, hat sie intern geprüft, ob Tatsachen einen Anfangsverdacht auf unerlaubte Kryptowerte-Dienstleistungen tragen. Die Warnung ist keine beliebige Pressemitteilung — sie ist eine förmliche aufsichtsrechtliche Handlung, die auf dem spezifischen Normtatbestand des KMAG beruht und zu der das betreffende Unternehmen gemäß § 10 Abs. 7 Satz 3 KMAG eine Anhörung durchläuft, bevor sie veröffentlicht wird. Das gibt der Warnung ein prozessuales Gewicht, das über eine bloße Verdachtsmeldung weit hinausgeht. Die MiCAR-Grundstruktur, das KMAG als nationaler Vollzug und die BaFin als Aufsichtsbehörde bilden zusammen ein dreistufiges Regulierungssystem, das zum ersten Mal am 8. Mai 2026 im Bereich der Verbraucherwarnungen vollständig aktiviert wurde.

Wer sich über die CASP-Zulassungspflicht informieren möchte, findet die systematische Gesamtdarstellung der MiCAR-Anforderungen auf den Seiten der ESMA (ESMA MiCAR-Übersicht) sowie den Originaltext der Verordnung im EUR-Lex-Volltext der MiCAR (EU 2023/1114). Für die technische Rückverfolgung bereits transferierter Kryptowerte lesen Sie ergänzend den Beitrag über Krypto-Tracing und Blockchain-Forensik auf dieser Website — denn die Zulassungsnorm allein sichert Ihr Geld noch nicht zurück.

Wie unterscheidet sich § 10 Abs. 7 KMAG von § 37 Abs. 4 KWG?

§ 37 Abs. 4 KWG ist die klassische Rechtsgrundlage für BaFin-Warnungen bei unerlaubten Bankgeschäften und Finanzdienstleistungen; § 10 Abs. 7 KMAG ist die spiegelbildliche, auf Kryptowerte spezialisierte Norm des neuen Aufsichtsregimes. Beide Normen berechtigen die BaFin zur öffentlichen Nennung, aber ihr sachlicher Anwendungsbereich ist strikt getrennt: KWG erfasst Einlagengeschäft, Kreditgeschäft, Zahlungsdienstleistung; KMAG erfasst die acht in Art. 3 Abs. 1 Nr. 16 MiCAR definierten Kryptowerte-Dienstleistungen.

Diese Trennlinie erklärt, warum die BaFin am 8. Mai 2026 bei nordstate.org und beehivecapital.pro beide Normen parallel zitierte: Jene Plattformen boten sowohl herkömmliche Anlageformen als auch Kryptowerte-Dienste an — das löst das BaFin-Doppelmandat aus, KWG für den Bankteil, KMAG für den Kryptoteil. Der entscheidende Unterschied für Geschädigte liegt im Tatbestandsmerkmal: Während § 37 Abs. 4 KWG an fehlende Erlaubnis nach § 32 KWG anknüpft, verweist § 10 Abs. 7 KMAG auf den Tatbestand des § 9 Abs. 1 Satz 1 KMAG, der seinerseits unmittelbar auf Art. 59 MiCAR Bezug nimmt. Das schafft eine lückenlose normative Kette von der EU-Verordnung über das nationale Gesetz bis zur behördlichen Warnung — eine Beweiskette, die in einem Zivilprozess oder Strafverfahren von erheblichem Wert ist. Die vollständige Normsynopse des KMAG ab dem 10. Februar 2026 ist in der KMAG-Synopse auf buzer.de einsehbar.

Für lukas-falke.de und finanzplanungwittenberg.com hingegen, die klassische Tagesgeld- und Festgeldanlagen ohne Krypto-Komponente betrieben haben sollen, reichte der Rückgriff auf § 37 Abs. 4 KWG aus. gppm-gmbh.com, das ebenfalls Einlagengeschäfte ohne CASP-Zulassung angeboten haben soll, wurde ebenfalls nur auf KWG-Basis gewarnt. Die Ausdifferenzierung der Rechtsgrundlagen durch die BaFin ist also kein Zufall — sie ist Programm.

Welche zivilrechtlichen Folgen hat eine KMAG-Warnung für Ihren Schadensersatzanspruch?

Eine KMAG-Warnung auf Basis dieser Norm erzeugt für Sie als Geschädigten drei unmittelbar verwertbare zivilrechtliche Wirkungen: erstens die Dokumentation der Rechtswidrigkeit des Vertrags nach § 134 BGB, zweitens die Grundlage für einen Bereicherungsanspruch nach § 812 BGB und drittens die Tatsachenbasis für einen deliktischen Schadensersatzanspruch nach § 823 Abs. 2 BGB in Verbindung mit den verletzten Schutzgesetzen des KMAG.

Zur ersten Wirkung: § 134 BGB erklärt ein Rechtsgeschäft für nichtig, das gegen ein gesetzliches Verbot verstößt. Der § 9 Abs. 1 Satz 1 KMAG ist ein solches Verbotsgesetz — er untersagt die Erbringung von Kryptowerte-Dienstleistungen ohne Zulassung ausdrücklich. Wenn die BaFin durch ihre Warnung nach § 10 Abs. 7 KMAG den Verdacht auf einen solchen Verstoß öffentlich dokumentiert, haben Sie ein aufsichtsrechtlich gesichertes Indiz für die Nichtigkeit des mit Ihnen geschlossenen Vertrags. Ein nichtiger Vertrag begründet keinen wirksamen Rechtsgrund für die Zahlung, die Sie geleistet haben — der Empfänger ist gemäß § 812 BGB zur Rückgabe verpflichtet.

Zur zweiten Wirkung: Der Bereicherungsanspruch nach § 812 BGB setzt voraus, dass der Schuldner etwas ohne Rechtsgrund erlangt hat. Die KMAG-Warnung stützt den Nachweis, dass ein Rechtsgrund nicht bestand. Sie verlagert faktisch die argumentative Last — nicht Sie als Kläger haben zu beweisen, dass der Vertrag nichtig war, sondern der beklagte Betreiber hätte darzulegen, warum er trotz fehlender CASP-Zulassung wirksam tätig werden durfte.

Zur dritten Wirkung: § 823 Abs. 2 BGB gewährt Schadensersatz, wenn jemand gegen ein Schutzgesetz verstößt, das den Einzelnen schützen soll. Die Normen des KMAG — und der dahinterliegenden MiCAR — sind Schutzgesetze im Sinne dieser Vorschrift. Die BaFin-Warnung dokumentiert den Anfangsverdacht eines solchen Verstoßes. Lesen Sie zur weiteren Einordnung der Bankhaftung in solchen Fällen den Beitrag über Bankhaftung bei Kryptobetrug sowie die systematische Rechtsprechungsübersicht zur Bankenhaftung 2024–2026.

Welche strafrechtlichen Folgen drohen den Plattformbetreibern?

Die strafrechtliche Bewertung von Plattformen, gegen die die BaFin die KMAG-Warnnorm anwendet, folgt einem Dreiklang aus Betrug, Computerbetrug und dem KMAG-spezifischen Straftatbestand des § 47 KMAG. Für Sie als Geschädigten ist die strafrechtliche Schiene relevant, weil ein eingeleitetes Ermittlungsverfahren staatliche Werkzeuge zur Vermögenssicherung aktiviert, auf die Sie als Privatperson keinen direkten Zugriff haben.

§ 263 StGB — Betrug — ist erfüllt, wenn die Betreiber einer Plattform durch Täuschung über ihre Identität, ihre Zulassung oder die Art ihrer Dienstleistungen bei Ihnen einen Irrtum erregten, der Sie zur Zahlung veranlasste. Bei nordstate.org etwa behaupteten die Betreiber eine Kooperation mit der Bundesnetzagentur — eine Behauptung, die nachweislich falsch war. Bei beehivecapital.pro wurden gefälschte FCA-Registrierungen präsentiert. Solche Täuschungshandlungen erfüllen den Tatbestand des § 263 StGB ohne weitere Prüfung. Bei Transaktionen über Online-Formulare kommt § 263a StGB — Computerbetrug — hinzu, der die Manipulation von Datenverarbeitungsvorgängen erfasst und insbesondere bei automatisierten Krypto-Transfer-Interfaces einschlägig ist.

Das Strafverfahren wird nach § 152 StPO eingeleitet, sobald ein Anfangsverdacht besteht. Eine solche Verbraucherwarnung auf KMAG-Basis ist ein solcher Anfangsverdacht in dokumentierter, behördlicher Form. Sie können diesen Befund in Ihrer Strafanzeige ausdrücklich benennen. Die Staatsanwaltschaft kann daraufhin nach § 111e StPO in Verbindung mit §§ 73, 73a StGB einen Vermögensarrest beantragen — das bedeutet, dass noch vorhandene Vermögenswerte der Täter eingefroren werden, bevor sie ins Ausland transferiert werden. Dieser Schritt ist zeitkritisch: Jede Stunde, in der keine staatliche Sicherungsmaßnahme ergriffen wird, erhöht das Risiko, dass Gelder unwiederbringlich verschwinden.

Wie wirkt KMAG § 10 Abs. 7 mit dem MiCAR-Passporting zusammen?

MiCAR sieht in Art. 59 ein Passporting-System vor: Ein CASP, der in einem EU-Mitgliedstaat zugelassen ist, darf seine Kryptowerte-Dienstleistungen in der gesamten Union erbringen, ohne in jedem Land eine separate Zulassung zu benötigen. Dieser Europäische Pass ist für seriöse Anbieter ein regulatorischer Vorteil. Für Betrüger ist er ein Einfallstor für Missbrauch: Sie behaupten eine Zulassung in einem Mitgliedstaat oder geben vor, über den Pass einer dortigen Gesellschaft tätig zu werden, obwohl kein solcher Pass existiert.

§ 10 Abs. 7 KMAG schließt diese Lücke für Deutschland. Die BaFin kann nämlich auch dann warnen, wenn ein Unternehmen den Anschein einer Zulassung erweckt, ohne tatsächlich über eine solche zu verfügen — das ist der Regelungsgehalt von § 10 Abs. 7 Satz 2 KMAG. Bei beehivecapital.pro etwa wurden Firmierungen verwendet, die an tatsächlich im britischen Companies House eingetragene Gesellschaften angelehnt oder mit diesen identisch sein sollen — eine klassische Passporting-Fälschung. Der angegebene Sitz in London, Budapest, Prag und Bratislava ändert nach der im Vorartikel zitierten BaFin-Einschätzung nichts daran, dass das BaFin-Aufsichtsrecht für jeden Anbieter gilt, der sich aktiv an den deutschen Markt wendet.

Für Sie als Anleger bedeutet das: Die geografische Streuung der Sitzangaben, die Berufung auf ausländische Zulassungen und die Verwendung von Firmierungen ähnlich echter Gesellschaften sind keine Schutzargumente der Plattformen — sie sind Täuschungsindizien, die § 263 StGB noch klarer bedienen und die BaFin-Einschätzung nach § 10 Abs. 7 KMAG stützen. Die Tatsache, dass sich ein Unternehmen auf eine nicht existierende oder erschlichene FCA-Registrierung beruft, kann nach Auffassung von Spezialisten im Bank- und Kapitalmarktrecht neben § 263 StGB auch Urkundenfälschung begründen.

Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.

Was bedeutet die BaFin-Warnung vom 8. Mai 2026 konkret für Betroffene der fünf Plattformen?

Am 8. Mai 2026 hat die BaFin binnen weniger Minuten fünf eigenständige Verbrauchermitteilungen veröffentlicht. Hintergrund dieser Welle: Bereits seit dem 4. Mai 2026 hatte die Bundesanstalt elf weitere Plattformen in den Fokus genommen; der Fünferblock vom 8. Mai brachte die Gesamtzahl auf 16 Warnungen in fünf Tagen. Betroffen sind beehivecapital.pro, nordstate.org, gppm-gmbh.com, lukas-falke.de und finanzplanungwittenberg.com — fünf Fälle mit teilweise sehr unterschiedlichen Betrugsmechanismen, aber einem gemeinsamen Kern: Das Fehlen der gesetzlich erforderlichen Erlaubnis oder CASP-Zulassung.

Für Anleger bei nordstate.org, die in ein sogenanntes „Solar-Direktinvestment“ investiert haben sollen, das mit einer behaupteten Kooperation der Bundesnetzagentur beworben wurde, ist die doppelte Rechtsgrundlage — § 37 Abs. 4 KWG und die KMAG-Norm — besonders stark: Sie zeigt, dass die BaFin nicht nur einen klassischen Bankgeschäfts-Verstoß, sondern zugleich einen spezifischen Kryptowerte-Verstoß erkannt hat. Für Anleger bei beehivecapital.pro, die möglicherweise unter dem Eindruck einer gefälschten FCA-Registrierung Kryptowerte transferierten, ist die KMAG-Warnung ein Beleg dafür, dass kein wirksamer Rechtsgrund für die Übertragung bestand — mit den beschriebenen Folgen nach §§ 134, 812, 823 BGB.

Was Sie als Betroffener sofort tun sollten: Sichern Sie alle verfügbaren Dokumente — Kontoauszüge mit Buchungsdaten und Empfänger-IBAN, sämtliche E-Mails, Chat-Protokolle, Screenshots der aufgerufenen Seiten, Wallet-Adressen und Transaktionshashes bei Krypto-Transfers. Erstatten Sie Strafanzeige und benennen Sie alle bekannten Kontodaten und Domain-Informationen. Informieren Sie Ihre Hausbank schriftlich. Bei einer Krypto-Komponente sollten Sie vor weiteren Eigenaktionen forensische Beratung einholen — der Bericht über die BaFin-Warnungen vom 8. Mai 2026 gibt Ihnen den genauen Sachverhaltsüberblick zu jeder der fünf Plattformen.

Wie hilft Ihnen ein Anwalt für Bank- und Kapitalmarktrecht in einem KMAG-Fall?

Die Durchsetzung von Ansprüchen nach einer KMAG-Warnung erfordert ein koordiniertes Vorgehen auf drei Ebenen: zivilrechtliche Anspruchssicherung, strafrechtliche Verfahrensbegleitung und — bei Krypto-Sachverhalten — forensische Rückverfolgung. Die zivilrechtliche Ebene beginnt mit der Klärung, ob § 134 BGB tatsächlich zur Nichtigkeit führt, ob ein Bereicherungsanspruch nach § 812 BGB gegen einen identifizierbaren Empfänger besteht und ob § 823 Abs. 2 BGB eine eigenständige Schadensersatzgrundlage bietet. Hinzu kommt die Frage, ob Ihre Bank eine eigenständige Haftung nach §§ 675u, 675v, 280 BGB trifft, weil sie Überweisungen an erkennbar verdächtige Empfänger ausgeführt hat.

Die strafrechtliche Ebene betrifft die Strafanzeige, die Akteneinsicht, die Begleitung von Vernehmungen als Zeuge sowie die Stellung als Nebenkläger, falls das Verfahren zur Anklage nach § 170 StPO führt. Auf der forensischen Ebene geht es darum, ob transferierte Kryptowerte noch auf einer Blockchain nachverfolgbar sind und ob ein Einfrierungsantrag nach § 111e StPO in Verbindung mit einem Krypto-Tracing-Befund Erfolg haben kann — Einzelheiten hierzu finden Sie in der Darstellung der Blockchain-Forensik für Anspruchssicherung.

Für die Koordination dieser drei Ebenen ist spezialisiertes Wissen im Bank- und Kapitalmarktrecht sowie im Kryptowerte-Aufsichtsrecht erforderlich. Eine allgemeine anwaltliche Beratung ohne vertiefte Kenntnisse der MiCAR-Struktur, des KMAG-Normsystems und der aktuellen Rechtsprechung zur Bankenhaftung genügt in solchen Fällen erfahrungsgemäß nicht. Die Rechtsprechungsübersicht zur Bankenhaftung 2024–2026 zeigt, unter welchen Voraussetzungen Gerichte eine Mitverantwortung der Hausbank in solchen Fällen bejaht haben.

Was bedeutet KMAG § 10 Abs. 7 für die Zukunft der BaFin-Aufsicht im Kryptomarkt?

Die Premiere des § 10 Abs. 7 KMAG am 8. Mai 2026 ist kein Einzelfall, sondern der Beginn eines neuen Aufsichtsrhythmus. Die BaFin hat mit der vollständigen Anwendbarkeit der MiCAR und des KMAG ein präzises Instrument erhalten, das sie — wie das Doppelzitat vom 8. Mai zeigt — bereit ist, ohne Verzögerung einzusetzen. Wer gewerblich Kryptowerte in der EU verwahrt, tauscht oder verwaltet, ohne CASP-Zulassung zu besitzen, riskiert ab sofort nicht nur die klassische KWG-Warnung, sondern eine dedizierte KMAG-Warnung, die eine normativ sauberere Brücke zu den zivilrechtlichen Ansprüchen der Geschädigten schlägt.

Für den europäischen Kontext ist die Verbindung zwischen nationaler BaFin-Praxis und dem ESMA-Rahmen relevant: Die ESMA koordiniert die Aufsicht der nationalen Behörden unter MiCAR und kann selbst Leitlinien und Standards setzen, an denen sich die BaFin-Praxis orientiert. Das bedeutet, dass eine KMAG-Warnung der BaFin im Kontext eines europäischen Aufsichtsregimes steht, das inhaltlich einheitlich ausgelegt wird. Eine Plattform, die in Deutschland nach § 10 Abs. 7 KMAG gewarnt wird, ist regulatorisch europaweit auffällig — das verstärkt den Druck auf Vermögensabschöpfung nach §§ 73, 73a StGB in Verbindung mit § 111e StPO.

Die Konsequenz für Sie als potenziell Betroffenen oder bereits Geschädigten ist klar: Sobald die BaFin § 10 Abs. 7 KMAG zitiert, ist die Beweislage in Ihrem Fall deutlich verbessert gegenüber dem Stand vor dem 8. Mai 2026. Die Norm ist neu, die Praxis ist jung — aber die normative Kette von der MiCAR über das KMAG bis zur behördlichen Warnung ist vollständig geschlossen. Nutzen Sie dieses Fenster, bevor Verjährungsfristen zu laufen beginnen und bevor staatliche Sicherungsmaßnahmen unterlassen werden. Mehr zur rechtlichen Einordnung von Betrug mit Deepfake- und KI-Elementen, wie er auch bei Beehive Capital beobachtet wurde, finden Sie im Beitrag über BaFin-GwG-Verschärfung, TFR II und Krypto-Bußgelder 2026.

Eine Mandatierung scheidet aus, wenn der Sachverhalt offenkundig aussichtslos ist, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung oder Tracing-Maßnahme bestehen oder wenn der Schaden in keinem Verhältnis zum Aufwand steht. Diese Prüfung erfolgt vor Mandatsannahme und kostenfrei für Sie.

Was ist KMAG § 10 Abs. 7?

KMAG § 10 Abs. 7 ist die Rechtsgrundlage im Kryptomärkteaufsichtsgesetz, auf der die BaFin die Öffentlichkeit unter Nennung des Firmennamens warnen darf, sobald Tatsachen die Annahme rechtfertigen, dass ein Unternehmen unerlaubte Kryptowerte-Dienstleistungen nach § 9 Abs. 1 Satz 1 KMAG erbringt. Die Norm gilt seit dem 30. Dezember 2024 und wurde erstmals am 8. Mai 2026 in einer BaFin-Verbraucherwarnung ausdrücklich zitiert. Sie ist das KMAG-Äquivalent zum bisherigen § 37 Abs. 4 KWG, jedoch speziell auf den Kryptowerte-Bereich zugeschnitten und mit einer normativ lückenlosen Kette zur MiCAR (EU 2023/1114) verbunden.

Wann hat die BaFin § 10 Abs. 7 KMAG zum ersten Mal angewendet?

Die BaFin hat § 10 Abs. 7 KMAG erstmals am 8. Mai 2026 in Verbraucherwarnungen gegen nordstate.org und beehivecapital.pro ausdrücklich als Rechtsgrundlage zitiert. Beide Plattformen sollen ohne CASP-Zulassung nach Art. 59 MiCAR Kryptowerte-Dienstleistungen in Deutschland angeboten haben. Für nordstate.org war dies die erste KMAG-Warnung dieser BaFin-Welle; beehivecapital.pro erhielt eine Doppelnennung, da die Plattform zusätzlich unter den Anwendungsbereich des § 37 Abs. 4 KWG fiel. Diese Premiere markiert den Beginn einer dezidiert KMAG-gestützten Aufsichtspraxis der BaFin im Kryptomärkte-Bereich.

Welche zivilrechtlichen Ansprüche folgen aus einer KMAG-Warnung?

Aus einer BaFin-Warnung nach § 10 Abs. 7 KMAG ergeben sich für Geschädigte drei zivilrechtliche Anknüpfungspunkte: § 134 BGB begründet die Nichtigkeit des Vertrags, weil das zugrundeliegende Geschäft gegen das gesetzliche Verbot des § 9 Abs. 1 Satz 1 KMAG verstößt. § 812 BGB gibt Ihnen einen Bereicherungsanspruch auf Rückzahlung, da kein wirksamer Rechtsgrund für Ihre Zahlung bestand. § 823 Abs. 2 BGB in Verbindung mit den Schutzgesetzen des KMAG und der MiCAR gewährt einen deliktischen Schadensersatzanspruch. Die BaFin-Warnung ist dabei kein Urteil, sondern ein aufsichtsrechtlich dokumentierter Ausgangsbefund, der Ihre Ansprüche prozessual erheblich stärkt.

Braucht jede Krypto-Plattform eine CASP-Zulassung?

Ja, seit dem 30. Dezember 2024 benötigt jedes Unternehmen, das gewerblich Kryptowerte-Dienstleistungen im Sinne von Art. 3 Abs. 1 Nr. 16 MiCAR in der EU erbringt, eine förmliche CASP-Zulassung nach Art. 59 MiCAR — umgesetzt durch § 9 Abs. 1 Satz 1 KMAG. Es gibt keine Bagatellgrenze und keinen Kleinanbieter-Korridor. Die acht erfassten Dienstleistungstypen umfassen Verwahrung, Betrieb von Handelsplattformen, Tausch, Ausführung von Aufträgen, Platzierung, Übernahme, Portfolioverwaltung und Anlageberatung für Kryptowerte. Wer ohne diese Zulassung tätig wird, erfüllt den Tatbestand des § 9 Abs. 1 Satz 1 KMAG und riskiert neben der BaFin-Warnung strafrechtliche Sanktionen nach § 47 KMAG.

Was sollte ich als Betroffener einer KMAG-gewarnten Plattform sofort tun?

Sofort nach Bekanntwerden der BaFin-Warnung sollten Sie sämtliche Unterlagen sichern: Kontoauszüge mit Buchungsdaten und Empfänger-IBAN, alle E-Mails und Chat-Protokolle, Screenshots der Plattforminhalte, Wallet-Adressen und Transaktionshashes bei Krypto-Transfers. Danach erstatten Sie Strafanzeige bei der zuständigen Staatsanwaltschaft unter Benennung der BaFin-Warnung nach § 10 Abs. 7 KMAG als Anfangsverdacht. Informieren Sie Ihre Hausbank schriftlich und prüfen Sie eine Haftung der Bank nach §§ 675u, 675v BGB. Bei einer Krypto-Komponente ist forensische Beratung vor Eigenaktionen unabdingbar. Schreiben Sie an kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern