Am 1. Juli 2026 endet die Übergangsphase der Markets in Crypto-Assets Regulation (MiCAR, VO (EU) 2023/1114): Kein Crypto-Asset Service Provider darf ab diesem Tag ohne EU-Zulassung noch einen einzigen Kunden in der Union bedienen. Zeitgleich greifen die Datenmeldepflichten nach der DAC8-Richtlinie (RL 2023/2226) für das gesamte Steuerjahr 2026 — implementiert in Deutschland durch das Kryptowerte-Steuertransparenzgesetz (KStTG) mit Bußgeldern bis zu 50.000 Euro je Verstoß nach § 18 Abs. 2 KStTG. Dieser Doppelstichtag ist kein bürokratisches Ereignis: Er verändert die Angriffsfläche für Betrug, die Beweislage für Geschädigte und die deliktischen Anspruchsgrundlagen gegen unlizenzierte Anbieter grundlegend. Wer jetzt noch bei einem nicht zugelassenen Anbieter investiert, tut das wissentlich in einem rechtsfreien Raum — mit entsprechenden Konsequenzen für eine spätere Rückforderung.

Was sind MiCAR und DAC8 — und warum gelten beide gleichzeitig?

MiCAR (VO (EU) 2023/1114) ist das Zulassungsrecht für Krypto-Dienstleister und Token-Emittenten im gesamten EU-Binnenmarkt. DAC8 (RL 2023/2226) ist das steuerliche Transparenzinstrument: Es zwingt genau diese Anbieter, aggregierte Transaktionsdaten ihrer EU-Kunden an die nationalen Finanzbehörden zu melden, die sie dann EU-weit automatisch austauschen. Beide Regelwerke greifen zum 1. Juli 2026 voll durch — das ist kein Zufall, sondern Systemdesign.

Die VO (EU) 2023/1114 — im Markt als MiCAR geläufig — gilt seit dem 30. Dezember 2024 vollständig im gesamten EU-Raum, ohne nationaler Umsetzung zu bedürfen. Sie schafft erstmals einen einheitlichen Rechtsrahmen für Kryptowerte, die bislang außerhalb des bestehenden Finanzmarktrechts lagen: Utility Token, vermögenswertreferenzierende Token (ART) und E-Geld-Token (EMT). Das Regelwerk strukturiert dabei zwei Kernbereiche: erstens die Emission von Kryptowerten mit Whitepaper-Pflichten und Prospekthaftungsregeln, zweitens die Erbringung von Krypto-Dienstleistungen durch lizenzpflichtige Crypto-Asset Service Provider (CASP). Letztere reichen von der bloßen Verwahrung bis hin zu Anlageberatung und Portfoliomanagement in Kryptowerten.

Die DAC8-Richtlinie (RL 2023/2226) ist das steuerrechtliche Pendant. Sie orientiert sich technisch und inhaltlich eng am OECD Crypto-Asset Reporting Framework (CARF), dem internationalen Standard für den automatischen Informationsaustausch über Kryptotransaktionen. DAC8 verpflichtet sogenannte Reporting Crypto-Asset Service Provider (RCASP), Transaktionsdaten ihrer EU-Kunden systematisch zu erfassen und jährlich an die nationalen Steuerbehörden zu melden. Deutschland hat DAC8 durch das Kryptowerte-Steuertransparenzgesetz (KStTG) umgesetzt, das zum 1. Januar 2026 in Kraft trat. Sanktion bei Nichtmeldung: bis zu 50.000 Euro je Verstoß nach § 18 Abs. 2 KStTG.

Dass beide Instrumente denselben Adressatenkreis erfassen und zeitlich synchronisiert laufen, ist kein Zufall. Der EU-Gesetzgeber wollte verhindern, dass MiCAR-zugelassene Anbieter zwar unter Aufsicht stehen, steuerlich aber weiterhin im Graubereich operieren. Die Parallelstruktur erzeugt einen regulatorischen Netzwerkeffekt: Wer keine MiCAR-Lizenz hat, wird auch nicht melden — und macht sich dadurch für Finanzbehörden und Strafverfolgung angreifbar.

Welche Anwendungsphasen durchlief MiCAR bis zum Stichtag?

MiCAR trat in zwei Phasen in Kraft: Ab dem 30. Juni 2024 galten die Regeln für ART- und EMT-Emittenten. Ab dem 30. Dezember 2024 griff das vollständige CASP-Regime. Eine Übergangsregelung nach Art. 143 Abs. 3 MiCAR erlaubte bereits tätigen Anbietern, bis zum 30. Juni 2026 unter nationalem Übergangsrecht weiterzuarbeiten. Ab dem 1. Juli 2026 gibt es keine Ausnahmen mehr.

MiCAR durchlief nach seiner Veröffentlichung im Amtsblatt der EU vom 9. Juni 2023 eine gestaffelte Anwendung. Die erste Phase — in Kraft seit dem 30. Juni 2024 — betraf ausschließlich die Emittenten von ART und EMT. Diese Token-Typen unterliegen besonders strengen Anforderungen, weil sie durch Vermögenswerte gedeckt sind oder als Zahlungsmittel fungieren. Für sie galten Zulassungspflichten und Whitepaper-Anforderungen bereits 18 Monate nach Veröffentlichung.

Die zweite Phase — in Kraft seit dem 30. Dezember 2024 — umfasste das vollständige CASP-Regime: Zulassungspflicht für alle Krypto-Dienstleister, Verhaltenspflichten gegenüber Kunden, Eigenkapital- und Liquiditätsanforderungen, Interessenkonfliktregeln und die Haftungsregelung des Art. 80 MiCAR. Die ESMA und die nationalen zuständigen Behörden — in Deutschland die BaFin — erhielten gleichzeitig ihre Überwachungskompetenzen.

Art. 143 Abs. 3 MiCAR gewährte einen Bestandsschutz: Anbieter, die vor dem 30. Dezember 2024 unter nationalem Recht tätig waren und einen Lizenzantrag nach MiCAR gestellt hatten, durften bis längstens 30. Juni 2026 weiteroperieren. Die Grandfathering-Periode war dabei von Mitgliedstaat zu Mitgliedstaat unterschiedlich lang — die ESMA veröffentlichte eine vollständige Liste der nationalen Übergangsfristen. In Deutschland endete die Bestandsschutzregelung in der Regel mit Ablauf der 18-Monats-Frist, also zum 30. Juni 2026.

Ab dem 1. Juli 2026 ist die Liste der Ausnahmen leer. Jeder Anbieter, der Krypto-Dienstleistungen für EU-Kunden erbringt, benötigt eine CASP-Zulassung nach MiCAR — und zwar von der zuständigen nationalen Behörde des Mitgliedstaats, in dem er seinen registrierten Sitz hat. Diese Zulassung gilt dann EU-weit durch den Europäischen Pass, ohne dass weitere nationale Genehmigungen erforderlich sind.

Was ändert der Stichtag für Krypto-Anbieter konkret?

Ab dem 1. Juli 2026 dürfen Krypto-Dienstleistungen in der EU ausschließlich von zugelassenen CASPs erbracht werden. Die Zulassung ersetzt die bisherigen nationalen Erlaubnisse nach KWG § 32 und KMAG. Wer ohne CASP-Lizenz weiteroperiert, handelt rechtswidrig — mit zivilrechtlichen und strafrechtlichen Folgen nach § 263 StGB und § 826 BGB.

Die Zulassungspflicht erfasst ein breites Spektrum von Tätigkeiten, die als Krypto-Dienstleistungen im Sinne von MiCAR qualifizieren. Dazu gehören das Verwahren und Verwalten von Kryptowerten für Kunden (Custody), der Betrieb von Handelsplattformen für Kryptowerte, die Ausführung von Kauf- und Verkaufsaufträgen, Eigenhandel, die Übertragung von Kryptowerten, die Erbringung von Anlageberatung sowie das Portfoliomanagement. Entscheidend: Die Pflicht gilt geografisch extraterritorial — auch ein Anbieter mit Sitz außerhalb der EU benötigt eine MiCAR-Zulassung, wenn er EU-Kunden bedient.

In Deutschland verdrängt die CASP-Zulassung nach MiCAR die bisher geltenden nationalen Erlaubnisregime. Das Erlaubniserfordernis nach § 32 KWG für die Kryptoverwahrung und die Erlaubnispflicht nach dem Kryptomärkte-Aufsichtsgesetz (KMAG, § 10 KMAG) werden durch das europäische Recht überlagert. Das bedeutet: Eine KWG-Erlaubnis allein genügt ab dem 1. Juli 2026 nicht mehr — es sei denn, der Anbieter hat den Grandfathering-Pfad genutzt und seine MiCAR-Zulassung erhalten.

Besonders prägnant ist die Konsequenz für Token-Emittenten. Emittenten von E-Geld-Token (EMT) benötigen nach MiCAR Art. 48 eine Zulassung als E-Geld-Institut. Das prominenteste Beispiel ist Tether (USDT): Als an den US-Dollar gekoppelter Stablecoin qualifiziert USDT als EMT im Sinne von MiCAR. Tether Ltd. hat bis zum Stichtag kein MiCAR-konformes Whitepaper vorgelegt und keine EMT-Zulassung für den europäischen Markt beantragt. Die Konsequenz: Zugelassene CASPs dürfen USDT ab dem 1. Juli 2026 für EU-Retail-Kunden weder zum Handel zulassen noch verwahren. Viele regulierte Börsen haben USDT bereits im Vorfeld für EU-Kunden delistet. Der Besitz von USDT in privaten, nicht bei einem CASP verwahrten Wallets bleibt dagegen zulässig — MiCAR reguliert Dienstleister, nicht Anleger.

Was meldet DAC8 — und was bleibt verborgen?

DAC8 verpflichtet Krypto-Dienstleister, für das Meldejahr 2026 aggregierte Transaktionsdaten an das Bundeszentralamt für Steuern (BZSt) zu übermitteln, Frist: 31. Juli 2027. Einzelne Trades mit Datum und Preis werden nicht gemeldet — die Meldung erfolgt nach Kryptowert und Transaktionskategorie aggregiert. Überweisungen zwischen eigenen Wallets beim selben Anbieter sind nicht meldepflichtig.

Die Meldepflicht nach DAC8 und dem deutschen KStTG erfasst folgende Datenkategorien: Identifikationsdaten des Kunden (vollständiger Name, Adresse, Geburtsdatum, steuerliche Ansässigkeit, Steueridentifikationsnummer) sowie aggregierte Transaktionsdaten nach Kryptowert und Transaktionskategorie — jeweils Gesamtbruttobetrag in Euro, Anzahl der Einheiten und Anzahl der Transaktionen. Die Kategorien umfassen Käufe und Verkäufe gegen Fiatgeld, Tauschvorgänge zwischen verschiedenen Kryptowerten, Staking-Erträge, Lending-Einnahmen, Airdrops und Transfers an externe Wallets.

Was nicht gemeldet wird: Einzeltransaktionen mit individuellem Datum, Preis und Gegenwert. Das Aggregationsprinzip gilt als Kompromiss zwischen Steuertransparenz und Datenschutz — es gibt Finanzbehörden einen belastbaren Überblick über das Transaktionsvolumen, erlaubt ihnen aber nicht, jeden einzelnen Trade nachzuvollziehen. Interne Umbuchungen zwischen Wallets, die beim selben CASP geführt werden und keine Änderung des wirtschaftlichen Eigentums bewirken, sind ebenfalls nicht meldepflichtig.

Die technische Basis von DAC8 ist der OECD-CARF (Crypto-Asset Reporting Framework), der 2023 als Teil der International Standards for Automatic Exchange of Information veröffentlicht wurde. 52 Jurisdiktionen — darunter alle EU-Mitgliedstaaten, die Schweiz, das Vereinigte Königreich, Japan, Kanada und Australien — haben sich verpflichtet, CARF ab 2027 erstmals auszutauschen. DAC8 ist die EU-interne Implementierung dieses globalen Standards. Der Datenaustausch folgt dabei demselben Mechanismus wie der Common Reporting Standard (CRS) für klassische Finanzkonten: automatisch, bilateral und ohne Benachrichtigung des Steuerpflichtigen.

DAC8 steht zudem in unmittelbarem Zusammenhang mit den Transfer-of-Funds-Pflichten nach der TFR-II-Verordnung (VO (EU) 2023/1113), die seit Januar 2026 CASPs zur Übermittlung von Auftraggeber- und Begünstigtendaten bei Krypto-Transfers verpflichtet. Gemeinsam bilden MiCAR, DAC8 und TFR II ein geschlossenes regulatorisches Ökosystem, das anonyme Krypto-Transaktionen über regulierte Anbieter faktisch beseitigt.

Welche Konsequenzen hat der Stichtag für Geschädigte von Krypto-Betrug?

Für Geschädigte verbessern MiCAR und DAC8 die Rechtsdurchsetzung erheblich. Anbieter ohne CASP-Lizenz handeln ab dem 1. Juli 2026 zusätzlich nach § 32 KWG rechtswidrig, was deliktische Ansprüche nach § 823 Abs. 2 BGB i.V.m. MiCAR-Schutzgesetzen eröffnet. DAC8-Meldedaten liefern behördlich verifizierten Beweisstoff für Strafanzeigen und zivilrechtliche Beweissicherung.

Deliktische Haftung nach § 823 Abs. 2 BGB: MiCAR-Normen, die dem Schutz von Anlegern dienen — insbesondere die Informationspflichten nach Art. 13 MiCAR und die Haftungsregelung in Art. 80 MiCAR — sind als Schutzgesetze im Sinne des § 823 Abs. 2 BGB einzuordnen. Ein CASP, der gegen diese Normen verstößt und dadurch einem Anleger Schaden zufügt, haftet deliktisch. Diese Anspruchsgrundlage tritt neben vertragliche Ansprüche aus § 280 BGB und schließt das Mitverschulden nach § 254 BGB nicht aus, reduziert aber die Anforderungen an den Schadensnachweis.

Strafbarkeit des unlizenzierten Betriebs: Ein Anbieter, der ab dem 1. Juli 2026 ohne MiCAR-Zulassung Krypto-Dienstleistungen für EU-Kunden erbringt, handelt ohne die nach § 32 KWG erforderliche Erlaubnis. Der unerlaubte Betrieb von Finanzdienstleistungen ist nach § 54 KWG strafbar. Dieser Umstand stärkt den Betrugstatvorwurf nach § 263 StGB — das Fehlen einer Lizenz kann als Täuschungshandlung gewertet werden, wenn der Anbieter nach außen den Eindruck erweckt, legal zu operieren. Gleichzeitig begründet das vorsätzliche Schadenszufügen durch unlizenzierte Tätigkeit eine sittenwidrige Schädigung nach § 826 BGB.

Beweisfunktion der DAC8-Daten: Die aggregierten Transaktionsmeldungen, die zugelassene CASPs ab dem 31. Juli 2027 an das BZSt übermitteln, sind behördlich verifizierte Dokumente. Im Rahmen von Strafanzeigen nach § 158 StPO können Geschädigte — oder ihre Anwälte — über die Staatsanwaltschaft Akteneinsicht nach § 406e StPO beantragen und so an behördlich verwertete Transaktionsdaten gelangen. Zudem können DAC8-Daten im Wege der Amtshilfe zwischen Steuerbehörden und Strafverfolgungsbehörden nutzbar gemacht werden, soweit die Strafprozessordnung dies erlaubt.

Auskunftsansprüche gegenüber zugelassenen CASPs: Lizenzierte Anbieter unterliegen nach MiCAR verschärften Aufbewahrungs- und Dokumentationspflichten. Geschädigte können zivilrechtliche Auskunftsansprüche gegen CASPs geltend machen — etwa auf Herausgabe von Kontounterlagen, Transaktionsprotokollen und Korrespondenz. Diese Ansprüche sind gestärkt, weil MiCAR-regulierte CASPs zur systematischen Führung dieser Unterlagen verpflichtet sind. Eine detaillierte Darstellung der Rückforderungsoptionen findet sich im Leitfaden zur Krypto-Asset-Recovery.

Bedeutet MiCAR automatisch besseren Schutz vor Betrug? Nein —

MiCAR schützt nicht vor allem. Die Regulierung setzt bei zugelassenen Anbietern an — aber Betrugsanbieter holen sich keine Lizenz. Sie operieren in dem Graubereich, der durch das Fehlen einer EU-Zulassung entsteht, oder sie täuschen eine solche vor. Das Pig-Butchering-Schema — auf das nach Chainalysis-Daten allein 2024 weltweit rund 9,9 Milliarden US-Dollar entfallen sind — funktioniert typischerweise über Plattformen, die keine MiCAR-Zulassung haben und sie auch nie beantragen werden.

Was MiCAR leistet: Es zieht eine scharfe regulatorische Trennlinie. Auf der einen Seite stehen zugelassene CASPs mit klaren Pflichten, Eigenkapitalanforderungen und Haftungsregeln. Auf der anderen Seite stehen alle anderen — und wer auf der anderen Seite steht, ist ab dem 1. Juli 2026 für jedermann erkennbar rechtswidrig tätig. Das verschlechtert nicht die Schutzlage, aber es verändert die rechtliche Angriffsfläche erheblich: Ein Schädiger, der wissentlich ohne Lizenz operiert, kann sich nicht mehr auf einen bloßen Regulierungsverstoß herausreden — er handelt vorsätzlich im rechtsfreien Raum. Das stärkt die Haftungsgrundlagen für Geschädigte.

Merksatz: MiCAR schafft kein Betrugsverbot — das gibt es seit § 263 StGB. Aber es macht jeden unlizenzierten Krypto-Dienstleister automatisch zu einem Täter, der eine nach § 32 KWG i.V.m. MiCAR strafbewehrte Erlaubnispflicht verletzt. Das ist ein handfester Unterschied vor Gericht.

Wie unterscheiden sich MiCAR-Ansprüche von klassischen Betrugsansprüchen?

Klassische Betrugsansprüche nach § 263 StGB und § 823 Abs. 2 BGB setzen eine Täuschungshandlung und Vorsatz voraus. MiCAR-basierte Ansprüche nach Art. 80 MiCAR i.V.m. § 823 Abs. 2 BGB können dagegen auch bei fahrlässigen Pflichtverletzungen greifen — etwa wenn ein CASP mangelhafte Informationen im Whitepaper oder fehlerhafte Risikohinweise veröffentlicht. Die Ansprüche ergänzen sich und verstärken die Durchsetzungsposition.

Die klassische Anspruchskonstellation bei Krypto-Betrug stützt sich auf § 263 StGB (Betrug), § 263a StGB (Computerbetrug), § 826 BGB (vorsätzliche sittenwidrige Schädigung) und § 823 Abs. 2 BGB i.V.m. § 263 StGB als Schutzgesetz. Diese Ansprüche setzen voraus, dass der Schädiger vorsätzlich gehandelt hat — eine hohe Anforderung, die im Bereich organisierter Krypto-Betrugsplattformen in der Regel erfüllt ist, sich aber im Prozess schwer beweisen lässt.

MiCAR fügt eine neue Schicht hinzu. Art. 80 MiCAR begründet eine Haftung des CASP für Verluste, die dem Kunden durch die Nichterfüllung der in MiCAR vorgesehenen Pflichten entstehen. Diese Haftung ist verschuldensabhängig, aber der Maßstab ist nicht zwingend Vorsatz — sie erfasst auch Fälle grober Fahrlässigkeit. Zudem begründen Art. 13 MiCAR (vollständige und korrekte Whitepaper-Informationen) sowie die Verhaltenspflichten nach Art. 71 MiCAR (Interessenwahrung, faire Behandlung) klare Schutzgesetze, deren Verletzung nach § 823 Abs. 2 BGB haftet.

Die folgende Übersicht zeigt, wie MiCAR-Ansprüche und klassische Ansprüche ineinandergreifen:

Anspruchsgrundlage	Voraussetzung	Verschuldensmaßstab	Besonderheit
§ 263 StGB / § 823 Abs. 2 BGB	Täuschung, Irrtum, Vermögensschaden	Vorsatz	Gilt auch gegen Hintermänner
§ 826 BGB	Vorsätzliche sittenwidrige Schädigung	Vorsatz	Umfasst organisierte Betrugsstrukturen
Art. 80 MiCAR i.V.m. § 823 Abs. 2 BGB	Pflichtverletzung des CASP, Kausalität	Fahrlässigkeit genügt	Neu ab 30.12.2024 vollständig wirksam
Art. 13 MiCAR i.V.m. § 823 Abs. 2 BGB	Fehlerhafte Whitepaper-Information	Fahrlässigkeit genügt	Prospekthaftungsähnlich
§ 280 BGB	Pflichtverletzung aus Vertrag	Fahrlässigkeit genügt	Neben MiCAR-Ansprüchen anwendbar
§ 32 KWG i.V.m. § 54 KWG / § 823 Abs. 2 BGB	Unerlaubter Betrieb	Vorsatz für Strafbarkeit; Fahrlässigkeit für Schadensersatz	Stärkt Tatvorwurf erheblich ab 1.7.2026

Was ist der CARF-Standard — und was hat er mit Deutschland zu tun?

Der OECD-CARF (Crypto-Asset Reporting Framework) ist der internationale Vorgänger von DAC8. Er verpflichtet Krypto-Dienstleister weltweit, Transaktionsdaten ihrer Kunden zu melden und international auszutauschen. Deutschland und alle EU-Mitgliedstaaten haben sich verpflichtet, CARF-Daten erstmals im Jahr 2027 auszutauschen. DAC8 ist die EU-interne Implementierung des CARF-Standards.

Der CARF wurde von der OECD im Jahr 2022 entwickelt und 2023 als Teil der überarbeiteten internationalen Standards für den automatischen Informationsaustausch in Steuerangelegenheiten veröffentlicht. Er ergänzt den bestehenden Common Reporting Standard (CRS) für Finanzkonten um den Kryptobereich. Hintergrund: Kryptowerte wurden in den Frühphasen ihrer Entwicklung häufig als Werkzeug zur Steuerumgehung genutzt, weil keine systematischen Meldepflichten existierten. CARF schließt diese Lücke.

Der Standard verpflichtet Reporting Crypto-Asset Service Provider (RCASP) dazu, folgende Informationen zu erheben und zu melden: Identifikationsdaten der Kunden (einschließlich Steuernummern und Ansässigkeitsstaat), aggregierte Transaktionsdaten nach Kryptowert und Kategorie sowie — bei Transfers an externe Wallets — den Gesamtbetrag der transferierten Einheiten. Deutschland ist Teil der Gruppe von 52 Jurisdiktionen, die erstmals im Jahr 2027 CARF-Daten austauschen werden, darunter alle EU-Mitgliedstaaten, die Schweiz, Japan, Kanada und das Vereinigte Königreich.

Für Geschädigte von Krypto-Betrug mit internationaler Dimension — etwa Pig-Butchering-Plattformen, die von Südostasien aus operieren — entsteht durch CARF eine neue Kooperationsebene zwischen Steuerbehörden verschiedener Jurisdiktionen. Transaktionsdaten, die in einem CARF-Partnerstaat gemeldet werden, können im Wege des internationalen Informationsaustauschs an deutsche Behörden übermittelt werden — sofern ein entsprechendes Abkommen besteht. Das schafft Ermittlungsansätze, die bisher nicht existierten.

Prüfschritte: Wie Geschädigte die neue Rechtslage nutzen

Geschädigte sollten systematisch prüfen, ob ihr Anbieter eine MiCAR-Zulassung hat, alle Belege sichern, eine Strafanzeige nach § 158 StPO stellen und zivilrechtliche Auskunftsansprüche gegen den Anbieter oder Zahlungsdienstleister geltend machen. Die neue Regulierungslage stärkt jede dieser Maßnahmen.

1. Lizenzstatus prüfen: In der öffentlich zugänglichen ESMA-Datenbank der zugelassenen CASPs nachschlagen, ob der Anbieter eine MiCAR-Zulassung hat. Kein Eintrag nach dem 1. Juli 2026 bedeutet: illegaler Betrieb. Das ist Tatbestandsmerkmal, kein bloßes Indiz.
2. Belege sichern: Alle Kommunikation (E-Mails, Chats, Telefon-Logs), Einzahlungsbelege, Screenshots des Plattform-Dashboards, Wallet-Adressen und Transaktions-IDs sichern. Diese Dokumente sind das Fundament jeder späteren rechtlichen Maßnahme.
3. Blockchain-Tracing initiieren: Krypto-Transaktionen sind auf der Blockchain dauerhaft nachverfolgbar. Eine forensische Blockchain-Analyse kann die Überweisungskette vom eigenen Wallet bis zum Empfänger-Wallet des Schädigers rekonstruieren. Diese Spur ist unabhängig davon, ob DAC8-Meldedaten vorliegen.
4. Strafanzeige nach § 158 StPO stellen: Die Strafanzeige bei der zuständigen Staatsanwaltschaft oder der Polizei ist Voraussetzung dafür, dass Strafverfolgungsbehörden Konten sperren (§§ 111b, 111c StPO) und Vermögen sichern können. Je früher, desto größer die Chance auf Sicherungsmaßnahmen.
5. Zivilrechtliche Auskunft einfordern: Gegen zugelassene CASPs bestehen MiCAR-gestützte Auskunftsansprüche auf Herausgabe von Transaktionsprotokollen. Gegen Zahlungsdienstleister, über die Einzahlungen liefen, können Auskunftsansprüche nach § 675u BGB und zivilprozessuale Auskunftsklagen erhoben werden.
6. Vermögensabschöpfung prüfen: Nach §§ 73, 73a, 73c StGB ist die Einziehung von Taterlösen — auch bei Dritten — möglich. Frühzeitige Strafanzeige und anwaltliche Begleitung sind dafür entscheidend. Eine Darstellung der Abschöpfungsmechanismen findet sich im Artikel zu Asset Tracing und Vermögensabschöpfung bei Pig Butchering.
7. Recovery-Scam vermeiden: Nach einem Krypto-Betrug werden Geschädigte häufig von Folgekriminellen kontaktiert, die eine angebliche Rückholung der Gelder anbieten. Diese sogenannten Recovery-Scams erfüllen regelmäßig die Tatbestände der §§ 263, 269, 261, 132a StGB — eine Analyse dieser Tatebene findet sich im Artikel zu Recovery-Scam-Strafrecht.

Welche Warnsignale zeigen eine nicht-lizenzierte Plattform?

Nicht-lizenzierte Plattformen fehlen in der ESMA-CASP-Datenbank, machen keine Angaben zur Regulierungsbehörde oder nennen fiktive Aufsichtsstellen, bieten keine MiCAR-konforme Risikoaufklärung und haben keinen prüfbaren Firmensitz in der EU. Jeder dieser Punkte ist nach dem 1. Juli 2026 ein eindeutiger Hinweis auf illegalen Betrieb.

Warnsignal	Rechtliche Einordnung	Handlungsbedarf
Kein Eintrag in ESMA-CASP-Datenbank nach 1.7.2026	Unerlaubter Betrieb, § 32 KWG i.V.m. MiCAR	Sofort keine weiteren Einzahlungen; Anzeige erstatten
Angebliche Zulassung durch unbekannte Behörde	Täuschungshandlung, § 263 StGB; ggf. § 132a StGB	Behörde verifizieren; Screenshot sichern
Whitepaper fehlt oder enthält keine Risikohinweise	Verstoß gegen Art. 13 MiCAR; Haftung nach Art. 80 MiCAR	Als Beweismittel dokumentieren
Auszahlungen werden blockiert oder verzögert	Klassisches Betrugsindiz; § 263 StGB	Keine weiteren Einzahlungen; Blockchain-Tracing initiieren
Anbieter fordert Steuervorauszahlung für Auszahlung	Gefälschtes BMF-Muster; § 263 StGB, § 269 StGB	Zahlung verweigern; Strafanzeige erstatten
Kein EU-Impressum, kein Datenschutzbeauftragter	Hinweis auf fehlende DSGVO-Compliance und fehlende EU-Präsenz	Finger weg; Plattform melden

Was Geschädigte jetzt tun

Geschädigte sollten unverzüglich alle Belege sichern, den Lizenzstatus des Anbieters prüfen, eine Strafanzeige erstatten und anwaltliche Beratung einholen. Jede Woche Verzögerung verschlechtert die Möglichkeit, Vermögen einzufrieren oder zurückzuverfolgen.

• Sofortsicherung der Beweise: Screenshots des gesamten Plattform-Dashboards, aller Chats und E-Mails, aller Einzahlungsbelege und Wallet-Adressen. Keine Geräte formatieren, keine Accounts löschen.
• Lizenzprüfung: In der ESMA-Datenbank der zugelassenen CASPs nachschlagen. Kein Eintrag nach dem 1. Juli 2026 ist eindeutig: illegaler Betrieb.
• Strafanzeige erstatten: Bei der zuständigen Staatsanwaltschaft oder der Polizei eine Strafanzeige nach § 158 StPO einreichen — möglichst mit konkreten Transaktionsdaten, Wallet-Adressen und einer Darstellung des Sachverhalts. Das löst die strafprozessualen Sicherungsmaßnahmen nach §§ 111b, 111c StPO aus.
• Keine weiteren Zahlungen: Weder „Steuervorauszahlungen“ noch „Verifizierungsgebühren“ noch angebliche „Entsperrungsgebühren“ leisten. Jede weitere Zahlung ist ein neuer Schaden.
• Forensische Blockchain-Analyse: Wallet-Adressen und Transaktions-IDs an spezialisierte Anwälte übergeben, die eine Blockchain-Forensik beauftragen können. Die Spur auf der Blockchain ist dauerhaft — Zeit spielt hier zugunsten der Geschädigten.
• Kein Kontakt zu Recovery-Scammern: Wer nach einem Krypto-Verlust von angeblichen „Rückholspezialisten“ kontaktiert wird, sollte sofort abbrechen und jeden Kontakt dokumentieren. Das ist ein eigenständiges Betrugsschema nach §§ 263, 261 StGB.

Für eine erste rechtliche Einordnung des Einzelfalls — insbesondere zur Frage, ob und gegen wen Ansprüche nach MiCAR, § 263 StGB, § 826 BGB oder § 823 Abs. 2 BGB bestehen — steht die Kanzlei Orlowa für ein Erstgespräch zur Verfügung. Die Kontaktaufnahme erfolgt über das Formular auf kryptoschaden.de oder direkt über den Telegram-Kanal.