kryptoschaden.de

Was tun nach BaFin-Warnung 2026? Rückforderung im D-A-CH-LI-Raum

Anleger berichten immer wieder von demselben Ablauf: Der Anbieter ist zunächst erreichbar, der Kundendienst antwortet prompt, die Handelsplattform zeigt ansehnliche Gewinne an. Dann erscheint im Newsticker die Warnung der Bundesaufsicht — und wenige Stunden später sind Website, Chat-Support und Telefonleitung tot. Wer in diesem Moment eine Auszahlungsanfrage stellt, erhält keine Antwort mehr. Das eingezahlte Kapital ist blockiert, die Plattform ist nicht mehr erreichbar. Die entscheidende Frage lautet: Welche rechtlichen Schritte greifen eigentlich noch, wenn der Anbieter selbst spurlos verschwunden ist und keine greifbare Rechtsperson hinterlässt?

Kupferstich-Tafel VIII: Vier Haftungsschienen Zahlungsdienstleister, Hosting, Werbe-Plattformen, Krypto-Dienstleister um Zentrum Anbieter unbekannt
Vier Schienen rings um die Leere: wo der Anbieter fehlt, treten Hilfspersonen in die Pflicht.

Warum das Verschwinden des Anbieters keine Sackgasse ist

Im deutschen Zivilrecht haftet nicht nur derjenige, der unmittelbar geschädigt hat. Wer als Zahlungsdienstleister, Hosting-Provider, Werbeplattform oder Krypto-Dienstleister an einem Anlagebetrug mitgewirkt hat — auch ohne eigene Bereicherungsabsicht — trägt unter bestimmten Voraussetzungen eine eigenständige Sekundärhaftung. Diese vier Haftungsschienen existieren unabhängig voneinander und können gleichzeitig verfolgt werden. Für Anleger ist das eine strukturell günstige Ausgangslage: Selbst wenn kein einziger der vier Wege allein zum vollständigen Schadensersatz führt, können sie in Kombination Teilbeträge zurückgewinnen, täternahe Daten beschaffen und Vermögenswerte einfrieren lassen.

Hinzu treten straf- und verwaltungsrechtliche Instrumente: der Vermögensarrest nach § 111e StPO und der Europäische Kontopfändungsbeschluss (EAPO) nach VO 655/2014 ermöglichen es, Gelder einzufrieren, bevor sie dauerhaft in den unregulierten Finanzkreislauf abfließen. Die Aufsichtsbehörden im D-A-CH-Raum — in Deutschland die Bundesaufsicht, in Österreich die FMA, in der Schweiz die FINMA — veröffentlichen Warnlisten, die als Ausgangspunkt für Schadensersatz- und Rückforderungsansprüche dienen. Entscheidend ist, dass Betroffene diese Instrumente kennen und zeitnah einsetzen, denn Fristen laufen ab, Blockchain-Spuren verwischen, und Gelder wandern über Mischerdienste in weitere Jurisdiktionen.

Was tun unmittelbar nach einer BaFin- oder FMA-Warnung?

Sofortmaßnahmen entscheiden darüber, ob Beweise noch sicherbar und Gelder noch auffindbar sind. Wer die ersten 48 Stunden untätig verstreichen lässt, riskiert, dass Transaktionen auf Blockchain-Ebene nicht mehr nachvollziehbar zugeordnet werden können und SEPA-Rückruffristen unwiderruflich ablaufen.

Konkret bedeutet das: Screenshots aller Transaktionsübersichten, Kontoauszüge, E-Mails, Chat-Protokolle und Angebotsseiten sichern — idealerweise mit Zeitstempel und Hash-Wert, damit die Echtheit gerichtsfest belegt werden kann. Die Transaktions-IDs aller Krypto-Überweisungen notieren; da sie auf der Blockchain dauerhaft abrufbar sind, bilden sie die Grundlage für die spätere forensische Rückverfolgung. Parallel dazu die eigene Bank kontaktieren und einen SEPA-Recall (R-Transaktion) initiieren, sofern die Lastschrift oder Überweisung nicht älter als 10 Werktage ist. Die Warnung der Aufsichtsbehörde herunterladen und der Beweissammlung beifügen — sie ist im weiteren Verfahren als öffentliches Dokument verwertbar.

  1. Beweissicherung: Screenshots, Kontoauszüge, Transaktions-IDs, Chat-Logs, Angebotsseiten mit Zeitstempel und Hash-Wert sichern; bei Webseiten empfiehlt sich die notarielle Protokollierung nach § 415 ZPO.
  2. SEPA-Recall: Hausbank unverzüglich kontaktieren; bei Lastschriften Widerspruch einlegen (§ 675x BGB, SEPA Core Rulebook Art. 4.2); bei Kreditkartenzahlungen Chargeback-Antrag stellen (Frist: 120 Tage ab Buchungsdatum nach Visa- und Mastercard-Regeln).
  3. Strafanzeige: Anzeige bei der zuständigen Staatsanwaltschaft oder beim Landeskriminalamt; das Aktenzeichen ist Voraussetzung für nachfolgende Anträge auf Auskunft und Vermögensarrest.
  4. Behördenmeldung: Schadensmeldung an Bundesaufsicht (Verbrauchertelefon), FMA (Österreich) oder FINMA (Schweiz) erstatten; Parallelstrategie in allen drei Ländern empfohlen.
  5. Anwalt einschalten: Spezialist für Bank- und Kapitalmarktrecht mandatieren; Vollmacht für Auskunftsbegehren gegenüber Zahlungsdienstleistern, Hosting-Providern und Krypto-Exchanges erteilen.
  6. Blockchain-Tracing: Zertifizierten Forensik-Dienstleister beauftragen, Geldflüsse auf der Kette nachzuverfolgen, Exchange-Adressen zu identifizieren und einen gerichtsverwertbaren Blockchain-Analysebericht zu erstellen.
  7. Arrest beantragen: Strafprozessualen Vermögensarrest (§ 111e StPO) oder zivilrechtlichen EAPO (VO 655/2014) beim zuständigen Gericht beantragen, sobald Kontoverbindungen, IBAN oder Krypto-Wallets bekannt sind.

Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

Jetzt @kryptobetrug_anwaeltin auf Telegram folgen →

Wie greift der Zahlungsdienstleister (PSD II, §§ 675u/675v BGB)?

Wurde Geld per Banküberweisung oder Kreditkarte eingezahlt, haftet der ausführende Zahlungsdienstleister unter engen, aber praxisrelevanten Voraussetzungen. Die Haftung setzt nicht voraus, dass die Bank selbst betrogen hat — es genügt, dass ein nicht autorisierter oder fehlergeleiteter Zahlungsvorgang im Sinne des Gesetzes vorliegt.

§ 675u BGB legt die Grundregel fest:

„Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte.“

§ 675u BGB — gesetze-im-internet.de

§ 675v BGB beschränkt diese Haftung auf Fälle grober Fahrlässigkeit des Zahlers, schließt sie aber nicht generell aus. In der Praxis sind Kreditkartenzahlungen an nicht lizenzierte Broker häufig über den Chargeback-Mechanismus rückforderbar, solange die Frist von 120 Tagen ab Buchungsdatum — nach den Scheme-Regeln von Visa und Mastercard — nicht abgelaufen ist. Für SEPA-Überweisungen gilt die Recall-Möglichkeit nach dem SEPA Credit Transfer Rulebook innerhalb von 10 Werktagen ab Ausführung; danach ist eine Rückholung nur noch mit Zustimmung des Empfänger-Instituts möglich. Wichtig: Der SEPA-Recall ist kein Widerspruchsrecht, sondern eine kooperative Anfrage — er scheitert regelmäßig, wenn das Zielkonto bereits geleert wurde. Deshalb ist Schnelligkeit das entscheidende Kriterium.

Die Haftungsnorm des § 675v Abs. 3 BGB (in Umsetzung von PSD II Art. 73 f.) eröffnet einen weiteren Anspruchsweg: Wurde ein Zahlungsauftrag durch Phishing oder Social Engineering initiiert und der Anleger wurde dabei getäuscht, kann der Zahlungsdienstleister des Zahlers unter Umständen verpflichtet sein, den Schaden anteilig mit dem Zahlungsdienstleister des Empfängers zu teilen. Dieser Mechanismus ist in Großbritannien bereits gesetzlich verankert (APP Fraud Reimbursement Regime) und wird in der Europäischen Union im Rahmen der Überarbeitung von PSD II diskutiert. Für Anleger im D-A-CH-Raum empfiehlt es sich deshalb, bei der Schadensdarstellung gegenüber der eigenen Bank ausdrücklich darzulegen, auf welche Weise der Zahlungsauftrag durch Täuschung veranlasst wurde.

Welche Pflichten haben Domain- und Hosting-Provider (§ 10 TMG, DSA Art. 9)?

Hosting-Provider genießen nach § 10 TMG (Telemediengesetz) ein weitreichendes Haftungsprivileg für fremde Inhalte — solange sie keine Kenntnis von der Rechtswidrigkeit haben und unverzüglich handeln, sobald diese Kenntnis vorliegt. Sobald ein Provider eine behördliche Anordnung oder eine qualifizierte Meldung erhält, entfällt dieses Privileg vollständig.

Der Digital Services Act (DSA, VO 2022/2065) verschärft diese Pflichten erheblich. Art. 9 DSA verpflichtet Hosting-Provider, auf behördliche Anordnungen zur Entfernung oder Sperrung illegaler Inhalte innerhalb kurzer Fristen zu reagieren und den anfragenden Behörden umgehend Auskunft zu erteilen. Art. 17 DSA schreibt vor, dass Provider Bestandsdaten auf Anfrage an Strafverfolgungsbehörden herausgeben. Für Anleger bedeutet das einen konkreten Ermittlungsansatz: Über eine anwaltliche Auskunftsklage — gestützt auf § 14 Abs. 3 TMG analog in Verbindung mit DSA Art. 9 — lässt sich ermitteln, wer zum Zeitpunkt der Warnung tatsächlich hinter der Plattform-Domain stand. Diese Daten, vor allem Name, Anschrift und IP-Logs, sind oft der erste greifbare Ansatzpunkt, wenn der Anbieter selbst vollständig anonym agiert hat und keine Impressumspflicht erfüllt wurde.

Praktisch problematisch ist, dass viele betrügerische Plattformen bei Hosting-Providern in Drittstaaten gehostet werden — häufig in Jurisdiktionen mit schwacher Rechtshilfekooperation. In solchen Fällen helfen Mutual Legal Assistance Treaties (MLAT) und die Europäische Ermittlungsanordnung (EEA, RL 2014/41/EU), die es deutschen und österreichischen Strafverfolgungsbehörden erlaubt, Beweiserhebungen im EU-Ausland unmittelbar anzuordnen. Die praktische Umsetzung erfordert jedoch anwaltliche Begleitung, da Fristen, Zuständigkeiten und Formvorschriften variieren.

Für Domain-Registrare gelten ergänzend die ICANN-Whois-Pflichten und seit dem Inkrafttreten von NIS 2 (RL 2022/2555) erhöhte Anforderungen an die Datengenauigkeit. Anleger und ihre Bevollmächtigten können über die Registration Data Access Protocol (RDAP)-Schnittstelle öffentlich verfügbare Registrierungsdaten abrufen und so zumindest den Registrar und den Registrierungszeitpunkt festhalten.

Welche Rolle spielen Werbe-Plattformen (DSA Art. 26, UWG)?

Wer auf sozialen Netzwerken oder Suchmaschinen auf eine betrügerische Plattform gestoßen ist, kann unter bestimmten Voraussetzungen Ansprüche gegen die Werbeplattform selbst geltend machen — dieser Weg ist in der Rechtspraxis anspruchsvoll, aber nicht ausgeschlossen, insbesondere wenn die Plattform nach Bekanntwerden der Warnung weiterhin Anzeigen geschaltet hat.

DSA Art. 26 verpflichtet Very Large Online Platforms (VLOPs) wie Meta, Alphabet oder X, ein Werbetransparenz-Register zu führen. Dieses Register enthält Angaben zum Werbetreibenden, zum Targeting, zur geografischen Reichweite und zur Laufzeit der Anzeige. Anleger und ihre Anwälte können das öffentlich zugängliche Register nutzen, um die Identität des Werbetreibenden zu dokumentieren — Informationen, die im Strafverfahren als Beweismittel dienen können und gleichzeitig die Grundlage für zivilrechtliche Ansprüche gegen den Werbetreibenden bilden.

Darüber hinaus eröffnet § 8 Abs. 2 UWG (Störerhaftung) einen Anspruchsweg gegen die Werbeplattform selbst, wenn sie trotz Kenntnis von der Rechtswidrigkeit einer Anzeige diese weiter geschaltet hat. Die Hürde der positiven Kenntnis ist hoch — aber Warnlisten von Aufsichtsbehörden können im Einzelfall als Nachweis dieser Kenntnis dienen, wenn die Plattform die Anzeige nach Aufnahme des Anbieters in die Warnliste fortgeführt hat. In diesem Fall entfällt das Haftungsprivileg aus DSA Art. 6 Abs. 1 lit. a. Einschlägige Rechtsprechung zur Plattformhaftung in diesem Kontext ist noch im Entstehen; die Entwicklung auf EU-Ebene und in der deutschen Spruchpraxis sollte engmaschig beobachtet werden.

In der Schweiz hat die Finanzmarktaufsichtsbehörde Werbeplattformen direkt angeschrieben und zur Abschaltung von Werbung nicht lizenzierter Anbieter aufgefordert. Ob daraus im Einzelfall eine privatrechtliche Haftung gegenüber geschädigten Anlegern folgt, ist noch nicht höchstrichterlich entschieden, wird aber in der aufsichtsrechtlichen Literatur zunehmend thematisiert.

Welche Pflichten gelten für Krypto-Dienstleister (MiCAR Art. 81, TFR II)?

Wurden Gelder in Kryptowerte umgewandelt und über einen regulierten Krypto-Dienstleister (CASP) abgewickelt, bestehen unmittelbare Auskunfts- und Einfrierungspflichten. MiCAR (Markets in Crypto-Assets Regulation, VO 2023/1114) und die Transfer-of-Funds-Regulation II (TFR II, VO 2023/1113) schaffen hierfür den Rechtsrahmen.

MiCAR Art. 81 verpflichtet CASPs zur Zusammenarbeit mit zuständigen Behörden und zur Herausgabe von Kundendaten auf behördliche Anfrage. Für Anleger bedeutet das: Ein durch Strafanzeige eingeleitetes Ermittlungsverfahren ermöglicht es der Staatsanwaltschaft, über Art. 81 MiCAR Auskunft zu erzwingen, wenn bekannt ist, auf welcher regulierten Exchange die Gelder landeten — Vorname, Nachname, Anschrift und gegebenenfalls Kontodaten des Empfängers sind offenzulegen. TFR II (VO 2023/1113) schreibt vor, dass CASPs bei jeder Krypto-Transaktion Absender- und Empfängerdaten erheben und fünf Jahre aufbewahren — die sogenannte Travel Rule. Diese Daten sind für Blockchain-Forensiker der Schlüssel, um Geldflüsse zu rekonstruieren und Endpunkte auf regulierten Exchanges zu identifizieren, gegen die dann behördliche oder zivilrechtliche Auskunftsansprüche geltend gemacht werden können.

MiCAR gilt seit Dezember 2024 vollständig in allen EU-Mitgliedstaaten. In Österreich ist die FMA als zuständige Aufsichtsbehörde für CASPs bestimmt worden. Für die Schweiz gelten das FINMASA und das VFG (Finanzmarktinfrastrukturgesetz), die vergleichbare Auskunftspflichten für Krypto-Dienstleister begründen. Wer Gelder auf eine Schweizer Exchange transferiert hat, kann über einen anwaltlichen Auskunftsantrag an die FINMA oder unmittelbar an das regulierte CASP vorgehen und die nach TFR II beziehungsweise der entsprechenden Schweizer Norm gespeicherten Transaktionsdaten einfordern.

Besonders relevant ist Art. 81 Abs. 3 MiCAR: Danach sind CASPs verpflichtet, auf Anweisung der zuständigen Behörde Vermögenswerte sofort einzufrieren. In Kombination mit einer staatsanwaltlichen Anfrage nach § 161 StPO lässt sich so eine faktische Kontosperre auf Krypto-Exchange-Ebene erreichen, ohne und zwar noch bevor das formale Arrestverfahren rechtskräftig abgeschlossen ist. Das gibt Betroffenen einen erheblichen zeitlichen Vorsprung.

Wie funktioniert der EAPO und welche Rolle spielt § 111e StPO?

Stehen Kontoverbindungen oder Exchange-Wallets fest, gibt es zwei komplementäre Wege, Gelder vor der dauerhaften Weiterleitung zu sichern: den Europäischen Kontopfändungsbeschluss (EAPO) im Zivilverfahren und den strafprozessualen Vermögensarrest nach § 111e StPO.

Der EAPO (VO 655/2014) erlaubt es, ein Bankkonto in einem anderen EU-Mitgliedstaat ohne vorherige Anhörung des Schuldners einzufrieren — ein entscheidender Vorteil gegenüber dem regulären Pfändungsverfahren. Voraussetzung ist, dass der Antragsteller glaubhaft macht, dass ein begründeter Zahlungsanspruch besteht und die Gefahr besteht, dass der Schuldner sein Vermögen entzieht oder verschleiert. Der Antrag wird beim zuständigen Gericht des Wohnsitzes des Antragstellers gestellt; das Gericht leitet den Beschluss direkt an die Bank im Zielstaat weiter. Die Wirkung tritt sofortig ein: Die Bank friert den Betrag ein, bevor der Schuldner informiert wird. Für Anleger im D-A-CH-Raum, deren Gelder auf EU-Konten in Malta, Zypern oder Bulgarien geflossen sind, ist der EAPO ein leistungsfähiges Instrument — sofern IBAN oder Kontonummer bekannt sind. Diese Information lässt sich häufig aus Zahlungsbelegen, Einzahlungsaufforderungen der betrügerischen Plattform oder aus SEPA-Transaktionsdaten gewinnen.

§ 111e StPO regelt den strafprozessualen Vermögensarrest. Er setzt ein laufendes Ermittlungsverfahren voraus. Die Staatsanwaltschaft beantragt beim Ermittlungsrichter die Beschlagnahme von Vermögenswerten, die als Taterlös oder als Tatmittel in Betracht kommen. Für Krypto-Assets bedeutet das: Sind Wallet-Adressen bekannt, kann das Landeskriminalamt in Zusammenarbeit mit regulierten Exchanges Einfrierungsanordnungen durchsetzen. Seit der Reform des Vermögensabschöpfungsrechts ist die erweiterte Einziehung nach § 73a StGB möglich — sie erfasst auch Vermögen, dessen legale Herkunft der Täter nicht nachweisen kann. Das stärkt die Position geschädigter Anleger im Adhäsionsverfahren erheblich, da sie direkt im Strafprozess Schadensersatz geltend machen können, ohne ein separates Zivilverfahren anzustrengen.

In der Praxis empfiehlt sich die Kombination beider Instrumente: Während die Staatsanwaltschaft den strafprozessualen Arrest beantragt, kann der Anleger parallel den EAPO beantragen, um auch Konten in anderen EU-Staaten zu erfassen, die vom staatsanwaltlichen Verfahren möglicherweise nicht abgedeckt werden. Eine koordinierte Vorgehensweise mit dem Strafverteidiger und dem Zivilanwalt ist in diesem Stadium unerlässlich.

Vier Haftungsschienen im Überblick

Schiene Rechtsgrundlage Adressat Frist / Timing Wirkung
Zahlungsdienstleister §§ 675u, 675v BGB; PSD II Art. 73 f.; SEPA Credit Transfer Rulebook Hausbank des Anlegers / Kreditkarteninstitut SEPA-Recall: 10 Werktage; Chargeback: 120 Tage Rückbuchung des Überweisungsbetrags auf das Konto des Anlegers
Domain- / Hosting-Provider § 10 TMG; § 14 Abs. 3 TMG; DSA Art. 9, 17 (VO 2022/2065) Domain-Registrar, Webhosting-Anbieter Auf anwaltliche / behördliche Anfrage; im Strafverfahren sofortig Bestandsdaten (Name, Anschrift, IP-Logs) zur Täteridentifikation
Werbe-Plattformen (VLOPs) DSA Art. 26 (Werbetransparenz); § 8 Abs. 2 UWG (Störerhaftung) Meta, Alphabet, X u. a. Very Large Online Platforms Transparenzregister jederzeit öffentlich abrufbar; Störerhaftung ab nachgewiesener Kenntnis Werbetreibenden-Identität, Targeting-Daten; ggf. Schadensersatz nach UWG
Krypto-Dienstleister (CASP) MiCAR Art. 81 (VO 2023/1114); TFR II (VO 2023/1113) Regulierte Krypto-Exchange / CASP Auf behördliche Anfrage; Datenspeicherungspflicht 5 Jahre KYC-Daten des Empfängers; Einfrierung von Wallets auf Anweisung möglich

Beweismittel sichern: Was vor Gericht zählt

Gerichte und Staatsanwaltschaften stellen hohe Anforderungen an die Verwertbarkeit digitaler Beweismittel. Screenshots allein reichen selten aus, weil sie leicht manipulierbar sind und ohne Kontextdaten keinen eigenständigen Beweiswert haben. Bewährt haben sich folgende Methoden: die notarielle Protokollierung von Webseiteninhalten nach § 415 ZPO, die forensische Sicherung durch zertifizierte IT-Sachverständige mit SHA-256-Hash-Wert-Dokumentation, und Blockchain-Analyseberichte durch auf Kryptowerte spezialisierte Forensikunternehmen, deren Gutachten von deutschen Strafgerichten als Sachverständigenbeweis zugelassen werden.

Für Transaktionen, die über dezentrale Exchanges (DEX) oder Mixer-Dienste geführt wurden, ist die Spurensicherung aufwendiger, aber nicht unmöglich. Sogenannte Cluster-Analysen erlauben es, mehrere Wallet-Adressen einem gemeinsamen Akteur zuzuordnen, auch wenn Verschleierungstechniken eingesetzt wurden. Blockchain-Forensiker nutzen dabei Heuristiken wie Common Input Ownership und Peeling-Chain-Erkennung, um Gelder über mehrere Transaktionsschichten hinweg zu verfolgen. Das Ergebnis solcher Analysen wird in deutschen Landgerichtsurteilen der jüngeren Vergangenheit als hinreichende Grundlage für einen Anfangsverdacht anerkannt — und bildet damit die Brücke zur Einleitung des Ermittlungsverfahrens.

Ergänzend empfiehlt sich die Sicherung aller Kommunikation über Messenger-Dienste wie WhatsApp oder Telegram, über die viele betrügerische Plattformen ihre Opfer kontaktieren. Screenshots dieser Chats sind zwar nicht digital signiert, können aber durch Metadata-Analyse und Telefonbuchauszüge verifiziert werden. In Fällen, in denen der Täter über Deepfake-Videos oder gefälschte Promi-Empfehlungen geworben hat, ist die Sicherung der entsprechenden Videodateien und der zugehörigen URL-Adressen besonders wichtig — sie belegen den Tatbestand des Betrugs durch Täuschung über Identität und Qualifikation des Anbieters.

D-A-CH: Unterschiede im Aufsichtsrecht und Meldewege

Im D-A-CH-Raum bestehen unterschiedliche Zuständigkeiten und Meldewege, die Anleger kennen sollten. In Deutschland veröffentlicht die Bundesaufsicht für Finanzdienstleistungsaufsicht Verbraucherhinweise und führt eine öffentliche Datenbank nicht lizenzierter Anbieter — abrufbar unter BaFin Verbraucherhinweise. In Österreich betreibt die FMA eine Investorenwarnungen-Übersicht, die tagesaktuell gepflegt wird und Anbieter nach Warndatum und Warngrund auflistet. In der Schweiz veröffentlicht die FINMA eine Warnliste mit detaillierten Angaben zu Firmenname, Domäne und Warnungsgrund.

Für Anleger im D-A-CH-Raum empfiehlt sich eine Parallelstrategie: Meldung an alle drei Behörden, da derselbe Anbieter möglicherweise unter verschiedenen Firmierungen in verschiedenen Ländern aufgetreten ist. Die Behörden tauschen Informationen im Rahmen des IOSCO Multilateral Memorandum of Understanding (MMoU) und bilateraler Kooperationsabkommen aus — eine frühe Meldung in allen drei Ländern erhöht die Wahrscheinlichkeit, dass Ermittlungsverfahren koordiniert geführt und Vermögenswerte länderübergreifend gesichert werden.

Häufige Fehler und wie man sie vermeidet

In der anwaltlichen Praxis tauchen dieselben Fehler wiederholt auf. Der häufigste: Anleger zahlen nach einer Warnung erneut ein, weil der Anbieter verspricht, das Konto zu entsperren, sobald eine Steuer oder Freischaltgebühr entrichtet wird. Diese Forderung ist ein klassisches Secondary-Scam-Muster und führt zu weiterem Schaden ohne jede Rückforderungsperspektive. Jede weitere Einzahlung nach der Warnung ist als eigenständiger Schadensposten zu dokumentieren.

Der zweithäufigste Fehler: Anleger wenden sich an Recovery-Unternehmen, die Vorschusszahlungen verlangen und keine nachweisbare Erfolgsbilanz vorweisen können. In Deutschland und Österreich dürfen Rechtsdienstleistungen ausschließlich von zugelassenen Rechtsanwälten erbracht werden (§ 3 RDG; § 8 öRAO). Nicht zugelassene Recovery-Agenten begehen eine Ordnungswidrigkeit; ihre Dienstleistungsverträge sind nach § 134 BGB wegen Verstoßes gegen ein gesetzliches Verbot nichtig — gezahlte Honorare können zurückgefordert werden.

Dritter Fehler: zu langes Warten mit der Strafanzeige. Verjährungsfristen im Betrugsstrafrecht beginnen nach § 78 StGB mit Tatbeendigung zu laufen; bei fortgesetzten Taten kann der genaue Beginn komplex sein. Im Zweifel gilt die Regel: lieber früher anzeigen und den Sachverhalt in nachfolgenden Schriftsätzen präzisieren, als die Frist zu versäumen.

Verfasserin: Anna Orlowa, LL.M. — Rechtsanwältin bei der REXUS Rechtsanwaltsgesellschaft mbH, Stuttgart. Schwerpunkt: Kryptowerte-Recht, Asset Recovery, Bank- und Aufsichtsrecht.

Quellen: BaFin Verbraucherhinweise: https://www.bafin.de/DE/Verbraucher/verbraucher_node.html | FMA Investorenwarnungen (Österreich): https://www.fma.gv.at/verbraucherinformation/warnungen/ | FINMA-Warnliste (Schweiz): https://www.finma.ch/de/finma-public/warnliste/ | § 675u BGB: https://www.gesetze-im-internet.de/bgb/__675u.html | § 675v BGB: https://www.gesetze-im-internet.de/bgb/__675v.html | § 111e StPO: https://www.gesetze-im-internet.de/stpo/__111e.html | MiCAR Art. 81 (VO 2023/1114): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32023R1114 | TFR II (VO 2023/1113): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32023R1113 | EAPO (VO 655/2014): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32014R0655

Konkrete Fälle:
Übersicht aller BaFin-, FCA-, FINMA- und FMA-Warnungen 2026