Die Verordnung (EU) 2023/1113 — im Fachjargon TFR II, Travel Rule Recast — ist am 30. Dezember 2024 vollständig in Kraft getreten und hat die Compliance-Architektur für Kryptowerte-Transfers in der EU grundlegend neu gezeichnet. Jeder CASP, der Transfers über eine lizenzpflichtige Plattform abwickelt, überträgt seither mit jedem Vorgang vollständige Originator- und Begünstigtendaten: vollständiger Name, Wallet-Adresse oder Konto-Identifikator sowie ein weiteres Identifikationsmerkmal — ohne Schwellenwert, ab dem ersten Cent. Das GwG-Begleitregime, verschärft durch die nationale Umsetzung im Finanzmarktdigitalisierungsgesetz (FinmadiG), fügt Bußgeldsanktionen nach § 56 GwG bis zu einer Million Euro und öffentliche Bekanntmachungspflichten nach § 57 GwG hinzu. Für Geschädigte des Kryptobetrugs bedeutet das: Was früher im regulatorischen Dunkel verschwand, hinterlässt heute einen dokumentierten Datenfußabdruck — abrufbar, verwertbar, klagefähig. Wer früh anwaltlich tätig wird, hat einen strukturellen Vorteil bei Tracing, Arrest und Schadensersatz.

Was ist TFR II und warum gilt die 30. Dezember 2024 als Stichtag?

TFR II ist die VO (EU) 2023/1113 über die Übermittlung von Angaben bei Geldtransfers und bestimmten Kryptowerte-Transfers. Sie ersetzt die Vorgängerfassung 2015/847 und erstreckt die Travel-Rule-Pflichten erstmals umfassend auf CASPs. Der Stichtag 30. Dezember 2024 markiert die vollständige Anwendbarkeit — begleitet von den finalen EBA-Leitlinien EBA/GL/2024/11 vom 4. Juli 2024.

Bis Ende 2024 galt in Deutschland die Kryptowertetransferverordnung (KryptoWTransferV) als nationale Übergangsregelung, die den Anwendungsbereich der damaligen Fondstransferverordnung auf Kryptowerte ausdehnte. TFR II macht das obsolet: Sie gilt als EU-Verordnung unmittelbar in allen 27 Mitgliedstaaten, ohne nationalen Umsetzungsakt. Was CASPs jetzt — nach dem Stichtag — schulden, ist strukturell anspruchsvoller als das bisherige Regime.

Der Regelungszweck ist doppelgleisig: erstens die Bekämpfung von Geldwäsche und Terrorismusfinanzierung durch lückenlose Nachverfolgbarkeit jedes CASP-seitigen Transfers; zweitens die Angleichung des Krypto-Sektors an die AML/CFT-Standards des klassischen Zahlungsverkehrs. Erreicht wird das durch eine datenbegleitende Pflicht: Jede Transaktion trägt Originator- und Begünstigtendaten durch die gesamte Transferkette — vom sendenden CASP über eventuelle Intermediäre bis zum empfangenden CASP. Fehlen die Daten, darf der Transfer nicht ausgeführt werden. Die BaFin hat klargestellt, dass es keinen Schwellenwert gibt: Die Pflicht beginnt ab dem ersten Cent.

Eingebettet ist TFR II in das europäische AML-Regulierungspaket: MiCAR schafft die Lizenzpflicht für CASPs (§ 10 KMAG für den nationalen Erlaubnisvorbehalt, § 32 KWG für das Kryptoverwahrgeschäft im engeren Sinne), TFR II sichert die Transaktionsrückverfolgbarkeit, und die noch nicht anwendbare AMLR (VO 2024/1624, ab Juli 2027) wird anonyme Konten bei CASPs vollständig untersagen. Das Dreigestirn MiCAR–TFR II–AMLR schließt die Anonymitätslücke strukturell.

Welche konkreten Datenpflichten treffen CASPs nach Art. 4 bis 16 TFR II?

Der sendende CASP erhebt und übermittelt: vollständigen Namen des Auftraggebers, Wallet-Adresse oder Kontonummer, sowie Wohnanschrift, amtliche Dokumentennummer oder Geburtsdatum. Der empfangende CASP benötigt mindestens Name und Wallet-Adresse des Begünstigten und prüft die Vollständigkeit der Originatordaten vor Gutschrift.

Art. 4 TFR II listet die Mindestdatensätze für den Originator: vollständiger Name, Kontonummer oder Distributed-Ledger-Adresse, und — als Dritter Identifikationspunkt — entweder Wohnanschrift, amtliche Dokumentennummer oder Geburtsdatum und Geburtsort. Der empfangende CASP (Art. 7 TFR II) prüft vor Gutschrift, ob die Originatordaten vollständig vorliegen und ob kein Verstoß gegen Sanktionsregimes gegeben ist. Fehlen Pflichtangaben, gilt Art. 8: Der empfangende CASP entscheidet risikoadäquat, ob er die Transaktion ablehnt, zurücksendet oder in Ausnahmen unter verstärkter Überwachung abschließt.

Besondere Brisanz hat Art. 14 Abs. 5 TFR II für Transfers an selbst gehostete Wallets (Self-Hosted Wallets, SHWs): Übersteigt der Betrag 1.000 Euro, hat der CASP die Inhaberschaft der SHW zu verifizieren. Die EBA-Leitlinien EBA/GL/2024/11 (Leitlinie 8) präzisieren zulässige Methoden: kryptografische Signatur über den Private Key, Micro-Transaction-Verfahren (Satoshi-Test), qualifizierte elektronische Zertifikate oder gleichwertige technische Mittel. Eine bloße Selbstauskunft des Kunden reicht — so die BaFin in ihrer aktualisierten Anwendungspraxis — nicht aus.

Für Transfers unter 1.000 Euro an SHWs gilt ein abgesenktes Regime: CASP erheben und halten die Originator- und Begünstigtendaten, ohne Verifizierungspflicht für die Walletinhaberschaft. Die Datenpflicht besteht trotzdem — eine Informationsasymmetrie, die Geschädigten zugutekommt: Auch kleinere Scamtransfers hinterlassen einen Datenfußabdruck beim sendenden Institut.

Was haben Geschädigte konkret von TFR II — jenseits der Compliance-Sprache?

TFR II erzwingt lückenlose Transferdaten — Transaktions-IDs, Wallet-Adressen, KYC-Unterlagen, Zeitstempel — und legt eine 5-Jahres-Aufbewahrungspflicht fest. Daraus entstehen anwaltlich durchsetzbare Auskunftsansprüche, Schadensersatzansprüche nach § 823 Abs. 2 BGB und strafrechtliche Ermittlungshebel nach § 111e StPO.

Die entscheidende Frage: Was nützen Compliance-Pflichten jemandem, der schon Geld verloren hat? Die Antwort liegt in der Beweisarchitektur. Wer als Betrugsopfer nach verlorenen Kryptowerten sucht, steht ohne rechtliche Hebelwirkung oft vor verschlossenen Türen. TFR II ändert das strukturell — auf drei Ebenen.

Ebene 1 — Datenherausgabe: Art. 26 TFR II schreibt vor, dass alle Transferdaten mindestens fünf Jahre aufzubewahren sind, revisionssicher und maschinenlesbar. Über anwaltliche Auskunfts- und Herausgabeansprüche können Geschädigte Zugang zu Transaktions-IDs, Wallet-Adressen beider Seiten, Zeitstempeln, KYC-Unterlagen des Kontoinhabers und Transaktionsüberwachungsprotokollen erstreiten. Das sind die Bausteine jedes Blockchain-Forensik-Gutachtens und damit die Grundlage einer substantiierten Klage.

Ebene 2 — Zivilrechtliche Haftung: TFR II und die GwG-Sorgfaltspflichten (§§ 10 ff. GwG) sind als Schutzgesetze im Sinne des § 823 Abs. 2 BGB einzustufen. Sie bezwecken den Schutz individuell betroffener Personen vor Vermögensschäden durch Geldwäsche und Betrug. Verstöße — etwa die unterlassene Verifizierung einer SHW über 1.000 Euro oder die Weitergabe unvollständiger Originatordaten — begründen Schadensersatzansprüche des Geschädigten. Ergänzend kommt § 280 BGB wegen vertraglicher Pflichtverletzung in Betracht, wenn der Geschädigte in einer Vertragsbeziehung zum CASP stand. Bei nachgewiesener Kenntnis des Betrugscharakters greift § 826 BGB.

Ebene 3 — Strafverfolgung: Vollständige Transferdaten erleichtern Ermittlungen erheblich. Eine Strafanzeige nach § 158 StPO, verbunden mit einem Antrag auf vorläufige Sicherung nach § 111e StPO, entfaltet mehr Wirkung, wenn Behörden auf lückenlose Transferhistorien zugreifen können. Die Geldwäschestrafbarkeit nach § 261 StGB setzt Kenntnisse über Herkunft und Weiterleitung der Vermögenswerte voraus — Daten, die TFR II zwingend erzeugt. Weiterführende Durchsetzungswege — von Blockchain-Forensik bis Arrest — beschreibt der Asset Recovery Leitfaden für Kryptowerte.

Was ändert § 25h KWG für Kreditinstitute mit Krypto-Bezug?

§ 25h KWG verpflichtet Kreditinstitute zu internen Sicherungssystemen gegen Geldwäsche und sonstige strafbare Handlungen — einschließlich Datenverarbeitungssystemen zur Transaktionsüberwachung. Im Krypto-Kontext bedeutet das: Banken, die Kryptoeinzahlungen verarbeiten oder CASP-Dienstleistungen anbieten, schulden eine technische Transaktionsmonitoringinfrastruktur, die verdächtige Kryptotransfers erkennt.

§ 25h Abs. 2 KWG verpflichtet Kreditinstitute dazu, Datenverarbeitungssysteme zu betreiben, mittels derer sie komplexe, ungewöhnliche oder wirtschaftlich sinnlose Transaktionen erkennen. Abs. 3 konkretisiert die Untersuchungspflicht für auffällige Einzeltransaktionen. Im Kontext des GwG-Verschärfungsregimes — gültig seit den FinmadiG-Änderungen, die TFR II national flankieren — trifft diese Pflicht auch Kreditinstitute, die als Zahlungsdienstleister in Kryptotransfer-Ketten eingebunden sind oder Kryptoverwahrgeschäfte nach § 1 Abs. 1a Satz 2 Nr. 6 KWG betreiben. Die BaFin hat in ihren Prüfungsschwerpunkten für Kreditinstitute mit Krypto-Exposure ausdrücklich auf das Zusammenspiel von § 25h KWG und den GwG-Sorgfaltspflichten hingewiesen und Blockchain-Analyse-Software für Kryptotransaktionen als regelmäßig unverzichtbar eingestuft.

Für Geschädigte ergibt sich daraus eine zusätzliche Haftungsgrundlage: Hat ein Kreditinstitut, das Kryptotransfers verarbeitet, eine auffällige Transaktion nicht nach § 25h Abs. 3 KWG untersucht und gemeldet, obwohl Indikatoren für Betrug oder Geldwäsche vorlagen, ist das ein eigenständiger Pflichtenverstoß. Das Unterlassen der Meldung nach § 43 GwG (Verdachtsmeldepflicht über das goAML-Portal) schafft eine weitere zivilrechtliche Flanke. Die Rechtsprechungsübersicht zur Bankenhaftung bei Kryptobetrug zeigt, wie Gerichte diese Pflichten in der Praxis gewichten.

Ein CASP, der die Self-Hosted-Wallet-Verifizierung nach Art. 14 Abs. 5 TFR II unterlässt, nimmt sehenden Auges in Kauf, dass Kryptowerte in betrügerische Strukturen abfließen. Das ist kein Compliance-Versagen — das ist Haftung.

Die praktische Bedeutung dieser Verifizierungspflicht zeigt sich in der Abwicklung grenzüberschreitender Transfers: Sobald ein Krypto-Betrugsopfer Zahlungsflüsse zu einer externen Wallet rekonstruiert, prüft ein auf Kapitalmarktrecht spezialisierter Anwalt zunächst, ob der ausführende CASP die gebotene SHW-Verifizierung tatsächlich durchgeführt und dokumentiert hat. Fehlt eine solche Dokumentation im Transaktionsarchiv, liegt ein eigenständiger Pflichtenverstoß vor — unabhängig davon, ob der CASP selbst in den Betrug eingeweiht war. Gerichte haben in vergleichbaren Fallkonstellationen aus dem Zahlungsdienstleistungsrecht wiederholt entschieden, dass das Unterlassen technisch zumutbarer Prüfschritte den Mitverschuldenseinwand nach § 254 BGB erheblich schwächt und die Haftungsquote des Instituts anhebt. Für Geschädigte eröffnet dieser Mechanismus einen direkten Klageweg gegen einen regulierten Akteur mit Inlandssitz und damit vollstreckbarem Vermögen.

Welcher Bußgeldrahmen gilt nach § 56 GwG — und warum interessiert das Geschädigte?

§ 56 GwG sieht für Verstöße gegen TFR-II-Pflichten Bußgelder bis 200.000 Euro (Standardverstöße) und bis eine Million Euro oder 10 % des Jahresumsatzes (schwere und systematische Verstöße) vor. Behördlich festgestellte Verstöße sind im Zivilprozess als Indiz für die haftungsrelevante Pflichtverletzung verwertbar.

Das Bußgeldregime gliedert sich in Eskalationsstufen:

Verstoßkategorie	Beispiel	Bußgeld
Standardverstoß	Unvollständige Originatordaten in Einzeltransfer, verspätete CASP-zu-CASP-Übermittlung	bis 200.000 €
Schwerer Verstoß	Fehlende SHW-Verifizierung ab 1.000 € systematisch, dauerhaft fehlende interne Kontrollprozesse	bis 1.000.000 €
Systematischer Verstoß bei großen Instituten	Wiederholte strukturelle Mängel im TFR-II-Compliance-System	bis 10 % des Gesamtjahresumsatzes

Für Geschädigte hat der Bußgeldrahmen mittelbare Bedeutung: Stellt die BaFin einen Verstoß fest und verhängt eine Sanktion, ist der Bußgeldbescheid im Zivilprozess als qualifiziertes Indiz verwertbar. Es belegt, dass die Pflichtverletzung von der zuständigen Behörde festgestellt und sanktioniert wurde — das erleichtert den Beweis der Rechtswidrigkeit im Rahmen des § 823 Abs. 2 BGB erheblich.

§ 57 GwG fügt eine zweite Dimension hinzu: Bestandskräftige Bußgeldentscheidungen gegen CASPs werden öffentlich bekannt gemacht. Diese „Name and Shame“-Pflicht hat Doppelwirkung: Sie warnt potenzielle Anleger und liefert Geschädigten einen öffentlich zugänglichen Nachweis der aufsichtsrechtlichen Pflichtverletzung. Anwaltlich lassen sich § 57 GwG-Veröffentlichungen zielgerichtet als Beweismittel in der Klageschrift platzieren.

Wie interagiert TFR II mit der Strafverfolgung — Arrest, § 111e StPO und grenzüberschreitende Einziehung?

Kryptobetrug nach §§ 263, 263a, 261 StGB ist ohne vollständige Transferdaten kaum zu verfolgen. TFR II erzwingt genau diese Daten. Nach § 158 StPO-Anzeige können Behörden über § 111e StPO Kryptowerte beim CASP arrestieren, bevor sie abgezogen werden. Die RL 2024/1260 ermöglicht grenzüberschreitende Einziehung innerhalb der EU.

Die praktische Ermittlungssequenz nach einem Kryptobetrug sieht so aus: Strafanzeige nach § 158 StPO an die zuständige Staatsanwaltschaft — verbunden mit Antrag auf vorläufige Sicherungsmaßnahme nach § 111e StPO, der auf die beim CASP archivierten TFR-II-Transferdaten gestützt wird. Die Strafverfolgungsbehörden können nun auf vollständige Transferhistorien zugreifen, die CASPs nach Art. 26 TFR II bereitstellen, und Kryptowerte beschlagnahmen, solange sie noch bei einem lizenzierten CASP gelagert sind — bevor Täter sie über Mixer, Peer-to-Peer-Börsen oder Privacy-Coins dem Zugriff entziehen.

Die RL 2024/1260 über die Abschöpfung und Einziehung von Vermögenswerten schafft auf EU-Ebene die Grundlage für grenzüberschreitende Einziehungsmaßnahmen — ein Instrument, das an Bedeutung gewinnt, weil betrügerische Kryptoplattformen regelmäßig aus Drittstaaten operieren, aber über lizenzierte CASPs in der EU abrechnen. Parallelläufe aus Strafanzeige plus Arrest plus zivilrechtlicher Klage haben sich in der Praxis als effektivste Vorgehensweise erwiesen. Einen strukturierten Überblick bietet die Schadensersatz-Strategie bei Kryptoscam.

Bedeutet ein laufendes Strafverfahren Klageverzicht? Nein —

Eine Strafanzeige nach § 158 StPO und ein zivilrechtlicher Schadensersatzprozess schließen sich nicht aus. Sie verstärken sich gegenseitig: Die Staatsanwaltschaft sichert Beweise, die der Zivilkläger im Wege des § 406e StPO einsehen kann. Der Zivilprozess erzwingt über die Auskunftsklage Daten, die der Staatsanwaltschaft zugutekommen. Das Zusammenspiel ist Pflicht, nicht Option — wer nur auf die Strafverfolgung wartet, riskiert, dass zivilrechtliche Ansprüche verjähren, während das Ermittlungsverfahren ruht.

Was zeigen Praxisfälle — drei Konstellationen, die TFR II entscheidet?

In der Praxis entscheidet TFR II vor allem in drei Konstellationen: unvollständige KYC-Kette beim empfangenden CASP, fehlende SHW-Verifizierung bei Transfers über 1.000 Euro und ausgehöhlte 5-Jahres-Aufbewahrungspflicht bei CASP-Insolvenz. Jede Konstellation hat ein anderes rechtliches Profil.

Konstellation 1 — Unvollständige KYC-Kette: Ein Geschädigter überweist 40.000 Euro auf eine Plattform ohne KMAG-Erlaubnis. Der deutsche empfangende CASP leitet Auszahlungen weiter, ohne vollständige Originatordaten nach Art. 7 TFR II zu prüfen. Ergebnis: Verstoß gegen Art. 4 und 7 TFR II, Haftung aus § 823 Abs. 2 BGB. Die BaFin verhängt ein Bußgeld nach § 56 GwG; die Entscheidung wird nach § 57 GwG veröffentlicht und ist im Zivilprozess verwertbar.

Konstellation 2 — Fehlende SHW-Verifizierung: 15.000 Euro fließen an eine externe Wallet, ohne dass der CASP die Inhaberschaft nach Art. 14 Abs. 5 TFR II und Leitlinie 8 EBA/GL/2024/11 verifiziert hat. Das Geld gelangt zu den Tätern. Die fehlende Verifizierung begründet einen Schadensersatzanspruch aus § 823 Abs. 2 BGB; über § 111e StPO kann zeitgleich ein Arrestantrag bei der Staatsanwaltschaft gestellt werden, falls die Gelder noch bei einem CASP liegen.

Konstellation 3 — Ausgehöhlte Aufbewahrungsfrist: Drei Jahre nach dem Betrugsschaden beauftragt ein Geschädigter Rechtsanwältin Orlowa mit der Schadensaufarbeitung. Auf Basis eines anwaltlichen Auskunftsanspruchs werden die nach Art. 26 TFR II archivierten Transferdaten beim verbliebenen CASP angefordert. Die Datensätze identifizieren drei weitere Zwischenwallets — die Grundlage für ein Blockchain-Forensik-Gutachten und einen Arrestantrag. Ohne TFR II wären diese Daten längst gelöscht.

Wie unterscheidet sich die 5-Jahres-Aufbewahrungspflicht von der alten Rechtslage?

Die VO 2015/847 enthielt keine explizite Kryptowerte-Aufbewahrungspflicht für Transferdaten beider Seiten. TFR II Art. 26 schreibt erstmals eine 5-Jahres-Mindestfrist für alle Originator- und Begünstigtendaten bei CASP-Transfers vor — maschinenlesbar, revisionssicher, mit automatischer Verlängerungspflicht bei laufendem Strafverfahren.

Art. 26 VO (EU) 2023/1113 legt die Mindestaufbewahrungsfrist auf fünf Jahre fest, gerechnet ab dem Zeitpunkt des Transfers. CASPs und Intermediäre sind verpflichtet, alle Angaben zu Originator und Begünstigtem maschinenlesbar und revisionssicher vorzuhalten — was automatisierte Anfragen durch Behörden und anwaltliche Auskunftsansprüche erleichtert. Nach Ablauf der Frist sind personenbezogene Daten zu löschen, sofern kein nationales Recht oder ein laufendes Verfahren weitere Aufbewahrung rechtfertigt. Ein laufendes Strafverfahren verlängert die Aufbewahrung faktisch unbegrenzt.

Für Geschädigte bedeutet die 5-Jahres-Regel konkret: Wer innerhalb dieser Frist anwaltlich tätig wird, kann auf Datensätze zugreifen, bevor sie vernichtet werden. Besondere Eile ist geboten, wenn der CASP in finanzielle Schwierigkeiten gerät — dann droht faktischer Datenverlust noch vor Ablauf der gesetzlichen Frist. Ergänzend verpflichtet § 52 GwG zur jährlichen Meldung aggregierter Krypto-Transferdaten an die BaFin, was eine weitere behördliche Datenquelle erschließt.

Daneben besteht eine aktive Auskunftspflicht gegenüber der FIU und der BaFin. Verdachtsmeldungen über das goAML-Portal sind für CASPs zwingend (§ 43 GwG); fehlen sie trotz erkennbarer Betrugsindizien, kann das zusätzlich die zivilrechtliche Haftung begründen. Wer eine solche Meldung anwaltlich nachweist, hat ein qualifiziertes Beweismittel in der Hand: Der CASP hat die Betrugsindizien erkannt und trotzdem nicht gehandelt — das nähert sich der Grenze vorsätzlicher Beihilfe. Die zugrunde liegende Verordnung (EU) 2023/1113 ist im Bundesfinanzministerium-Portal dokumentiert.

TFR II im regulatorischen Gesamtbild — Wo ordnet sich die Verordnung ein?

TFR II ist kein isoliertes Instrument. Im Zusammenspiel mit MiCAR (Lizenzpflicht für CASPs), § 32 KWG, § 10 KMAG (nationale Erlaubnisvorbehalte), § 56/57 GwG (Sanktion und Transparenz) und der RL 2024/1260 (grenzüberschreitende Einziehung) entsteht ein geschlossener Regulierungsrahmen, der betrügerischen Kryptoplattformen strukturell enge Grenzen setzt.

Der Regulierungsrahmen im Überblick:

• MiCAR (VO (EU) 2023/1114): Schafft die EU-weite Lizenzpflicht für CASPs. Ohne MiCAR-Zulassung oder nationales Äquivalent (§ 10 KMAG, § 32 KWG) ist der Betrieb untersagt. MiCAR Art. 140, 142, 149 regeln Marktmissbrauch, Marktmanipulation und Insiderhandel mit Kryptowerten.
• TFR II (VO (EU) 2023/1113): Sichert Transferdatenpflichten. Jeder CASP-Transfer ist mit vollständigen Identitätsdaten beider Seiten zu versehen und fünf Jahre aufzubewahren.
• GwG §§ 10 ff., 43, 52, 56, 57: Ergänzt mit Sorgfaltspflichten, Verdachtsmeldepflichten, aggregierten Meldepflichten und dem Bußgeld-/Transparenzmechanismus.
• § 25h KWG: Interne Sicherungsmaßnahmen für Kreditinstitute — technische Transaktionsüberwachung als Pflichtkomponente.
• DAC8: EU-Informationsaustausch über Krypto-Steuerdaten ab 2026, ergänzt das AML-Regime um die Steuerdimension.
• RL 2024/1260: Ermöglicht grenzüberschreitende Einziehung — das Werkzeug für Fälle, in denen Täter im EU-Ausland operieren.

Die Konsequenz für Krypto-Betrugsopfer: Betrügerische Kryptoplattformen können nicht mehr darauf bauen, dass ihre Transfers im regulatorischen Dunkel verschwinden. Wer über einen lizenzierten CASP abrechnet, hinterlässt einen dokumentierten Datenfußabdruck — abrufbar, verwertbar, klagefähig. Das ist ein struktureller Systemwechsel, kein marginales Compliance-Update.

Besonders relevant für Schadensfälle mit internationalem Bezug: TFR II gilt nicht nur für EU-ansässige CASPs, sondern auch für Nicht-EU-CASPs, die mit EU-basierten CASPs interagieren. Ein Kryptobetrug, der über eine außereuropäische Plattform läuft, aber Gelder über einen deutschen oder anderen EU-lizenzierten CASP weiterleitet, unterliegt dem TFR-II-Regime für den EU-seitigen Transferteil. Das schränkt die Möglichkeit der Täter ein, sich hinter Offshore-Strukturen zu verstecken — und erweitert die Angriffspunkte für Geschädigte. Zugleich zeigt die Praxis, dass viele betrügerische Plattformen als CASPs ohne MiCAR-Zulassung oder § 10 KMAG-Erlaubnis operieren. In diesen Fällen liegt zusätzlich ein Verstoß gegen § 54 KWG (unerlaubte Bankgeschäfte) vor, was die strafrechtliche Verfolgung erheblich vereinfacht und die Einziehung nach §§ 73, 73a StGB ermöglicht.

Einen Überblick darüber, wie MiCAR, DAC8 und Travel Rule zusammenwirken, bietet der Artikel MiCAR, DAC8, Travel Rule: Drei Stichtage für Anleger. Wer verstehen will, wie Geldflüsse bei Pig-Butchering-Betrug organisiert sind, und warum TFR II genau dort ansetzt, findet unter Geldfluss bei Pig-Butchering: Asset Tracing und Mule-Konten eine praxisnahe Analyse.

Was Geschädigte jetzt tun

• Alle vorhandenen Belege sichern: Transaktionsübersichten, E-Mails, Screenshots, Wallet-Adressen, Kontoeröffnungsunterlagen der Plattform.
• Strafanzeige nach § 158 StPO bei der zuständigen Staatsanwaltschaft oder Polizeidienststelle stellen — mit Antrag auf vorläufige Sicherung nach § 111e StPO, wenn Kryptowerte beim CASP noch erreichbar sind.
• Anwaltlichen Auskunftsanspruch gegen den CASP geltend machen, solange die 5-Jahres-Frist nach Art. 26 TFR II noch läuft — Zeitverlust kostet Datenzugang.
• Prüfen, ob die Plattform eine BaFin-Warnung, ein § 57 GwG-Bußgeld oder eine MiCAR-Sanktion auf sich gezogen hat — öffentlich zugängliche Informationen, die anwaltlich verwertbar sind.
• Blockchain-Forensik beauftragen: Ohne On-Chain-Analyse bleiben Wallet-Adressen und Transferketten unlesbar; das Forensik-Gutachten ist Voraussetzung für Arrest und Einziehung.
• Zivilrechtliche Schadensersatzklage nach §§ 823 Abs. 2, 280, 826 BGB parallel zur Strafanzeige vorbereiten — beides schließt sich nicht aus, sondern verstärkt sich.
• Fristen im Blick behalten: Die zivilrechtliche Verjährungsfrist beträgt regelmäßig drei Jahre ab Kenntnis des Schadens und der Person des Schädigers. Diese Frist läuft bei Kryptobetrug oft erst mit späterer Aufdeckung an — aber nicht ewig.

Rechtsanwältin Anna O. Orlowa, LL.M., berät Geschädigte des Kryptobetrugs bei der Durchsetzung von Schadensersatzansprüchen — von der Strafanzeige über den anwaltlichen Auskunftsanspruch bis zur Klage. Für eine erste Einschätzung der Ausgangssituation steht die Kanzlei auf dem üblichen Wege zur Verfügung. Alle Informationen zum Mandat finden sich unter Kryptoscam: Strategien zur Rückforderung.