Mittwochnachmittag, Februar 2026, 16:31 Uhr. Nicolas Keil schaut auf sein Smartphone und sieht eine SMS von „TradeRepubl“. Sie erscheint nicht in einem fremden Chatfenster — sie reiht sich nahtlos in den bestehenden Verlauf ein, direkt unterhalb echter Verifizierungscodes aus dem Jahr 2025. Der Text ist knapp: Eine Auszahlung sei vorgemerkt worden. Falls nicht autorisiert, solle er die angegebene Nummer anrufen. Keil ruft an. Am anderen Ende: akzentfreies Deutsch, ruhige Stimme, professionelles Auftreten. Sein Depot sei gefährdet, lautet die Aussage. Die Lösung: sofortige Überweisung auf ein angebliches Treuhandkonto. In weniger als zwei Minuten tätigt Keil vier Überweisungen. Gesamtschaden: 18.488,18 EUR — weg, auf ein Konto bei der Targobank, unerreichbar. Trade Republic antwortet bis heute nicht. Der Fall hat ein rechtliches Nachspiel — und er ist kein Einzelfall.
Ist Trade Republic SMS-Spoofing für die Bank ein Haftungsfall nach § 675u BGB?
Ja — und die Rechtslage ist deutlich ungünstiger für den Neobroker, als Trade Republic bislang kommuniziert. Nach § 675u BGB ist ein Zahlungsdienstleister verpflichtet, nicht autorisierte Zahlungen unverzüglich zu erstatten. Eine durch Täuschung erschlichene Zustimmung ist rechtlich keine wirksame Autorisierung. Der BGH hat in seinem Urteil vom 5. März 2024 (XI ZR 107/22) klargestellt: Die Beweislast dafür, dass eine Zahlung autorisiert war, liegt bei der Bank — nicht beim Kunden. Trade Republic hat im Fall Nicolas Keil bis heute weder auf dessen Hilfesuche reagiert noch auf Presseanfragen der Stiftung Warentest geantwortet, die den Fall am 1. Mai 2026 dokumentierte. Dieses Schweigen ist keine Petitesse — es ist eine schwerwiegende Pflichtverletzung gegenüber einem geschädigten Kunden und berührt zentrale Pflichten aus dem Zahlungsdiensterecht. Wenn Sie sich in einer vergleichbaren Situation befinden, lesen Sie weiter: Die nachfolgenden Abschnitte erläutern, warum Ihre Rechtslage besser sein könnte, als Sie vermuten.
Wie funktioniert diese Masche technisch — und warum ist sie so gefährlich?
Trade Republic SMS-Spoofing bezeichnet die gezielte Manipulation der Absenderkennung einer SMS, der sogenannten Sender-ID. Auf dem Empfängergerät erscheint statt einer anonymen Mobilfunknummer ein vertrauter Name — im Fall von Nicolas Keil „TradeRepubl“, eine auf elf Zeichen gekürzte Variante des echten Absendernamens, wie sie die Spoofing-Technik technisch bedingt. Das Heimtückische: Smartphones gruppieren Nachrichten nach Absender-ID. Eine gefälschte SMS mit derselben Kennung landet nicht in einem separaten Chatfenster, sondern erscheint unmittelbar unterhalb echter, zuvor empfangener Nachrichten — einschließlich echter Verifizierungscodes des Unternehmens. Für Nicolas Keil war optisch kein Unterschied zur authentischen Kommunikation erkennbar.
Diese Technik ist kein Werkzeug hochspezialisierter Akteure. Sie ist mit frei im Internet verfügbaren Diensten für wenige Euro buchbar. Für den Empfänger ist das Ergebnis ohne Vorkenntnisse schlicht nicht von einer echten Nachricht zu unterscheiden. Das Bundesamt für Sicherheit in der Informationstechnik stuft solche Angriffe inzwischen auf dem Niveau professioneller Unternehmenskriminalität ein — Betroffene handeln nicht leichtfertig, sie werden systematisch getäuscht. Mimikama identifizierte am 28. März 2026 typische Erkennungsmerkmale: leicht veränderte Absendernamen wie „TradeRepubl“ oder „TR-Info“, Aufforderungen zum Anruf unbekannter Nummern und die gezielte Nutzung echter Kontodaten aus früheren Datenlecks, um im Telefonat Vertrauen zu erzeugen.
Die Täter, die Nicolas Keil anriefen, führten nach Angaben von Stiftung Warentest zunächst Smalltalk, bauten Vertrauen auf und stellten den Betrug als legitimen „Sicherheitsprozess“ dar. Sie nannten Kontodaten aus mutmaßlich früheren Lecks und präsentierten die vier Überweisungen als einzig mögliche Schutzmaßnahme für sein Depot. Das ist professionelles Social Engineering — und es funktioniert auch bei erfahrenen, aufmerksamen Menschen.
Nicolas Keils Fall steht für eine viel größere Welle. Im Januar 2026 berichtete BR24 von mehreren Geschädigten aus Mittelfranken, bei denen dieselbe Masche mit E-Mail und SMS eingesetzt wurde. Die Betrüger führten teils stundenlange Telefonate. Der Gesamtschaden allein in diesen Fällen belief sich auf Hunderttausende Euro. Ende März 2026 warnte Watchlist Internet vor einer neuen, koordinierten Angriffswelle auf Trade-Republic-Kunden. Am 31. März 2026 schilderte ein weiterer Betroffener im Reddit-Subforum FinanzenAT denselben Ablauf im Detail. Die Masche wiederholt sich mit minimalen Variationen — und Trade Republic schwieg zu alledem öffentlich.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Was macht Trade Republics Schweigen rechtlich bedeutsam?
Stiftung Warentest hält in seinem Bericht vom 1. Mai 2026 ausdrücklich fest, dass Trade Republic auf die Hilfesuche von Nicolas Keil bis zum Redaktionsschluss nicht geantwortet hatte — und auch auf konkrete Presseanfragen zu seinem Fall schwieg. FOCUS berichtete am 5. Mai 2026 ebenfalls über den Fall und die ausgebliebene Stellungnahme des Neobrokers. Trade Republic erklärte lediglich, per SMS ausschließlich Login-Codes zu versenden — niemals Aufforderungen zu Anrufen oder Überweisungen. Damit ist der Vorwurf des Neobrokers an Keil klar: Er hätte die Fälschung erkennen können. Diese Argumentation greift jedoch rechtlich zu kurz.
Trade Republic ist seit der BaFin-Vollbanklizenz kein App-basierter Börsenzugang mehr, sondern ein reguliertes Kreditinstitut mit allen Pflichten des Zahlungsdiensterechts. Dazu gehört die Verpflichtung, bei gemeldeten nicht autorisierten Zahlungen unverzüglich zu reagieren und den Sachverhalt ernsthaft zu prüfen. Die fehlende Reaktion auf eine Betrugsopfer-Anfrage ist daher keine bloße PR-Schwäche, sondern eine mögliche Verletzung vertraglicher Schutzpflichten nach § 280 BGB in Verbindung mit dem Zahlungsdienstleistungsvertrag. Als Betroffener haben Sie gegenüber Ihrer Bank nicht nur ein Recht auf Erstattungsprüfung, sondern auch ein Recht auf eine sachgerechte, zeitnahe Antwort.
Darüber hinaus können Unternehmen die Sender-ID ihrer Marke bei Telekommunikationsanbietern schützen lassen — durch Registrierung, die verhindert, dass Dritte im Namen dieser Marke SMS versenden. Wer als Zahlungsdienstleister diese Maßnahme nicht implementiert und damit Dritten die Möglichkeit eröffnet, seine Kunden im eigenen Namen zu täuschen, setzt einen kausalen Beitrag zur Täuschung. Ob das als eigenständige, von der Täterhandlung unabhängige Pflichtverletzung nach § 280 BGB zu werten ist, haben Gerichte noch nicht abschließend entschieden — die Tendenz der jüngeren Rechtsprechung spricht jedoch dafür, dass diese Frage zunehmend ernst genommen wird.
Weiterführende Einordnung zur Bankhaftung bei digitalem Betrug bietet die Übersicht auf kryptoschaden.de zur Bankhaftung bei Kryptobetrug.
Welche gesetzlichen Normen begründen den Erstattungsanspruch gegen Trade Republic?
Die zentrale Norm ist § 675u BGB. Sie verpflichtet jeden Zahlungsdienstleister — also auch Trade Republic als Vollbank — dazu, bei einer nicht autorisierten Zahlung den abgebuchten Betrag unverzüglich zu erstatten. Die entscheidende Frage ist, ob Keils vier Überweisungen als „autorisiert“ gelten können. Eine durch Täuschung erschlichene Weisung erfüllt dieses Merkmal nach herrschender Literaturmeinung nicht ohne Weiteres — zumal die Täuschung hier durch eine technisch manipulierte Absenderkennung ermöglicht wurde, für deren Schutz der Zahlungsdienstleister zumindest mitverantwortlich ist.
Dem Erstattungsanspruch nach § 675u BGB hält § 675v BGB entgegen: Danach entfällt die Erstattungspflicht ganz oder teilweise, wenn der Zahlungsdienstnutzer grob fahrlässig gehandelt hat. Trade Republic wird diesen Einwand zweifellos erheben. Die Frage, ob Keil tatsächlich grob fahrlässig handelte, ist jedoch keineswegs trivial zu bejahen. Der BGH hat am 22. Juli 2025 (XI ZR 107/24) ausdrücklich klargestellt, dass nicht jede Weitergabe eines Codes oder jede Überweisung auf Geheiß eines vermeintlichen Bankvertreters automatisch als grob fahrlässig einzustufen ist. Entscheidend sind die Umstände des Einzelfalls: die Qualität der Täuschung, die technische Unerkenntlichkeit der gefälschten Nachricht, die Professionalität der Täter. Wenn die gefälschte SMS im selben Chatverlauf wie echte Codes erscheint und die Täter akzentfrei und sachkundig kommunizieren, ist der Vorwurf grober Fahrlässigkeit rechtlich angreifbar. Sie sollten diesen Einwand nicht ungeprüft akzeptieren, wenn Trade Republic ihn Ihnen gegenüber erhebt.
Selbst wenn ein Gericht grobe Fahrlässigkeit des Kunden bejahen würde, ist die Frage der Haftungsverteilung damit nicht abschließend beantwortet. Das OLG Dresden hat am 5. Juni 2025 (8 U 1482/24) entschieden, dass eine Bank auch dann Mitverschulden trägt, wenn das eigene System der starken Kundenauthentifizierung (SCA) Schwächen aufweist. In jenem Fall verpflichtete das Gericht eine Sparkasse zur Erstattung von rund 20 Prozent des Schadens — trotz festgestellter grober Fahrlässigkeit des Kunden. Für den Trade-Republic-Fall ist deshalb von Bedeutung, ob das Authentifizierungsdesign des Neobrokers den regulatorischen Anforderungen entsprach und ob das Fehlen eines SMS-Sender-ID-Schutzes als Schwachstelle in der Sicherheitsarchitektur zu werten ist.
Ein unmittelbarer Präzedenzfall für Spoofing-Szenarien ist das Urteil des LG Köln vom 8. Januar 2024 (22 O 43/23): Dort verneinte das Gericht grobe Fahrlässigkeit bei Call-ID-Spoofing ausdrücklich, weil die technische Täuschung so professionell gestaltet war, dass eine Erkennung durch einen durchschnittlichen Nutzer praktisch ausgeschlossen war. Das Gericht verpflichtete die Bank zur vollen Erstattung von rund 10.000 bis 14.000 EUR. Das Szenario — gespoofter Absender, Einbettung in echten Kommunikationsverlauf, professionelles Social Engineering — ist strukturell mit dem Fall Nicolas Keil vergleichbar. Dieses Urteil ist Ihr stärkstes Argument, wenn Trade Republic grobe Fahrlässigkeit geltend macht.
Strafrechtlich kann § 263 StGB in Verbindung mit § 263a StGB (Computerbetrug) gegen die Täter geltend gemacht werden. Soweit Taterträge identifiziert werden, ermöglicht die Norm-Kette § 73 StGB i.V.m. § 111e StPO die staatliche Einziehung dieser Mittel zugunsten der Geschädigten. Ergänzend tritt § 280 BGB, sofern Trade Republic durch unzureichende technische Schutzmaßnahmen eine eigenständige vertragliche Schutzpflichtverletzung begangen hat. Diese Anspruchsgrundlagen stehen nebeneinander und schließen sich gegenseitig nicht aus.
Zur Frage, wie KI-gestützte Phishing- und Spoofing-Angriffe technisch und rechtlich einzuordnen sind, empfiehlt sich ein Blick auf den Beitrag KI-Krypto-Betrug: Deepfake und Phishing 2026.
Wie stark ist die Beweisposition bei Trade Republic SMS-Spoofing?
Erheblich stärker, als viele Betroffene ahnen — und das ist der entscheidende Verdienst der aktuellen BGH-Rechtsprechung. Mit dem Urteil vom 5. März 2024 (XI ZR 107/22) hat der BGH die Beweislastverteilung im Zahlungsdiensterecht klar zugunsten der Kundenseite verschoben. In der Vergangenheit waren Phishing-Opfer häufig in der schwierigen Lage, selbst nachweisen zu sollen, dass sie die Zahlung nicht autorisiert hatten. Heute gilt das Gegenteil: Die Bank hat darzulegen, dass die Autorisierung ordnungsgemäß erfolgte. Dieses Prinzip — in der europäischen PSD2-Diskussion als „Refund First“ etabliert — bedeutet praktisch, dass eine Bank, die den Einwand grober Fahrlässigkeit erheben will, diesen Vorwurf auch substantiiert zu belegen hat. Ein pauschaler Verweis auf allgemeine Warnhinweise genügt dabei nicht.
Für Trade Republic konkret: Der Neobroker hat nachzuweisen, dass Keil tatsächlich grob fahrlässig handelte — und nicht lediglich zu behaupten, er hätte die Täuschung erkennen können. Angesichts der technischen Qualität des SMS-Spoofings, der Einbettung in den echten Chatverlauf und des professionellen Telefonkontakts ist diese Darlegung alles andere als selbstverständlich. Zusätzlich liegt die Beweislast für die Wirksamkeit der Authentifizierung nach der zentralen Beweislastregel im Zahlungsdiensterecht beim Zahlungsdienstleister — er hat die technische Authentizität des Vorgangs nachzuweisen, nicht der Kunde das Gegenteil zu beweisen.
Wenn Sie selbst betroffen sind, sichern Sie umgehend alle verfügbaren Beweise: Screenshots der SMS mit sichtbarem Zeitstempel und vollständigem Chatverlauf, Gesprächsnotizen mit Uhrzeit, Gesprächsinhalt und den Namen vermeintlicher Mitarbeiter, vollständige Transaktionsübersicht mit Datum, Uhrzeit, Betrag und Zielkonto sowie den gesamten schriftlichen Kommunikationsverlauf mit Trade Republic — oder das Protokoll seiner ausbleibenden Antwort. Jedes Dokument, das die professionelle Täuschungsqualität belegt, stärkt Ihre Rechtsposition gegenüber dem Einwand grober Fahrlässigkeit. Dieser Schritt ist dringend und sollte vor jedem weiteren erfolgen.
Welche konkreten Schritte sollten Betroffene jetzt unternehmen?
Der erste und dringlichste Schritt ist die Kontosperrung über die offizielle Trade-Republic-App. Selbst wenn die Überweisungen bereits ausgeführt wurden, kann eine umgehende Meldung in seltenen Fällen Rückbuchungen über das SEPA-Recall-Verfahren ermöglichen. Parallel ist Strafanzeige bei der Polizei oder über die Online-Wache des jeweiligen Bundeslandes zu erstatten — möglichst detailliert, mit allen Transaktionsdaten, Zeitangaben und dem SMS-Screenshot. Die Vergabe eines Aktenzeichens durch die Strafverfolgungsbehörde stärkt die spätere zivilrechtliche Position, weil sie dokumentiert, dass Sie den Betrug unverzüglich gemeldet haben.
Im zweiten Schritt ist der Erstattungsanspruch nach § 675u BGB schriftlich, nachweisbar — per Einschreiben oder qualifizierter E-Mail mit Lesebestätigung — und unter gesetzter Frist gegenüber Trade Republic geltend zu machen. Das Schreiben sollte den genauen Tathergang, die vier Transaktionen mit Datum und Betrag, den Gesamtschaden und die Rechtsgrundlage benennen. Halten Sie nach der Meldung sorgfältig fest, ob und wann Trade Republic antwortet — diese Dokumentation ist für das weitere Verfahren essenziell. Wenn Sie den Schritt zu einem anwaltlichen Schreiben gehen, erhöht das den Druck auf den Neobroker erheblich und signalisiert ernsthaften Verfolgungswillen.
Antwortet Trade Republic nicht oder lehnt den Anspruch ab, steht als außergerichtlicher Weg die Schiedsstelle der privaten Banken zur Verfügung. Ob Trade Republic im konkreten Fall an der Schlichtung teilnimmt, war zum Zeitpunkt der Stiftung-Warentest-Berichterstattung noch unklar; in jedem Fall dokumentiert eine eingereichte Schlichtungsbeschwerde Ihren ernsthaften Verfolgungswillen und schafft eine weitere Druckstufe vor einem möglichen Klageverfahren. Kommt eine außergerichtliche Einigung nicht zustande, bleibt der Klageweg. Angesichts des BGH-Urteils XI ZR 107/22, der OLG-Dresden-Entscheidung und des LG-Köln-Präzedenzfalls ist die Prozessaussicht für Spoofing-Fälle mit professioneller Täuschungsqualität substantiell besser als noch vor drei Jahren.
Ergänzend bietet sich Blockchain-Tracing an, wenn die Gelder über Krypto-Exchanges weitergeleitet wurden. Eine forensische Nachverfolgung kann Taterträge identifizieren und die strafrechtliche Einziehung nach § 73 StGB i.V.m. § 111e StPO vorbereiten. Mehr dazu unter Krypto-Tracing und Blockchain-Forensik.
Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.
Wann scheidet eine Mandatierung aus — und wann ist sie sinnvoll?
Eine Mandatierung scheidet aus, wenn der Sachverhalt offenkundig aussichtslos ist, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung oder Tracing-Maßnahme bestehen oder wenn der Schaden in keinem Verhältnis zum Aufwand steht. Diese Prüfung erfolgt vor Mandatsannahme und kostenfrei für Sie. Im Fall von Trade Republic SMS-Spoofing mit einer Schadenssumme von über 18.000 EUR, dokumentierter Täuschungsqualität und nachgewiesenem institutionellem Schweigen des Zahlungsdienstleisters sind die Voraussetzungen für eine ernsthafte rechtliche Prüfung hingegen in der Regel gegeben. Besonders dann, wenn Beweise vollständig gesichert sind und der Schaden jüngeren Datums ist, empfiehlt sich eine zeitnahe anwaltliche Einschätzung — weil Verjährungsfristen laufen und Transaktionsspuren mit der Zeit verblassen. Wenn Sie unsicher sind, ob Ihr Fall diese Voraussetzungen erfüllt, schildern Sie den Sachverhalt kurz — die Eingangseinschätzung klärt das ohne Bindung.
Einen Überblick über ähnlich gelagerte Fälle mit koordiniertem Betrug und staatlicher Strafverfolgung bietet der Bericht zur Europol-Zerschlagung von Kryptobetrug-Netzwerken.
Was bedeutet der Fall Keil für die Regulierung von Neobanken und Sender-ID-Schutz?
Der Trade-Republic-SMS-Spoofing-Fall Nicolas Keil steht exemplarisch für eine regulatorische Lücke, die mit dem Wachstum app-basierter Vollbanken entstanden ist. Klassische Filialbanken haben über Jahrzehnte Sicherheitsinfrastruktur aufgebaut — darunter Whitelist-Registrierungen für SMS-Absenderkennungen, die verhindern, dass Dritte im Namen einer Marke Nachrichten versenden. Neobroker wie Trade Republic haben diese Infrastruktur teilweise nicht im selben Umfang implementiert.
Das ist kein Vorwurf mangelnden Willens, aber ein Befund mangelnder Sorgfalt: Wer als BaFin-lizenzierte Vollbank am Zahlungsverkehr teilnimmt, unterliegt denselben Sorgfaltspflichten wie ein klassisches Kreditinstitut. Die Pflicht zur Implementierung starker Kundenauthentifizierung nach PSD2 schließt nach verbreiteter Rechtsauffassung auch die Pflicht ein, die eigenen Kommunikationskanäle vor Missbrauch zu schützen. Wer die eigene SMS-Absenderkennung nicht registrieren lässt und damit Dritten die Möglichkeit eröffnet, im eigenen Namen zu schreiben, setzt einen kausalen Beitrag zur Täuschung der Kunden. Ob das im Einzelfall als Pflichtverletzung nach § 280 BGB zu werten ist, werden Gerichte zunehmend klären — die Rechtsprechungslinie von LG Köln und OLG Dresden deutet in diese Richtung. Für Sie als Betroffener bedeutet das: Dieses Argument gehört in jedes Erstattungsbegehren.
Auf der politischen Ebene ist die Frage des Sender-ID-Schutzes inzwischen im Fokus von Verbraucherschutzorganisationen und Bundesnetzagentur. Eine gesetzliche Pflicht zur Sender-ID-Registrierung für regulierte Finanzdienstleister würde das SMS-Spoofing-Risiko strukturell erheblich reduzieren. Bis dahin bleibt die rechtliche Durchsetzung von Erstattungsansprüchen nach § 675u BGB der praktikabelste Weg für Geschädigte. Für weitere Hintergründe zu strukturellen Betrugsmustern im digitalen Finanzbereich empfiehlt sich der Artikel zum LG-Bamberg-Urteil gegen eine Bitcoin-Bande.
Häufige Fragen zum Trade Republic SMS-Spoofing-Fall (FAQ)
Kann ich mein Geld zurückfordern, wenn ich Opfer von Trade Republic SMS-Spoofing wurde?
Ja, der Erstattungsanspruch nach § 675u BGB ist der rechtlich vorgesehene Weg. Danach ist Trade Republic als Zahlungsdienstleister verpflichtet, nicht autorisierte Zahlungen zu erstatten. Ob Ihre Überweisung als „nicht autorisiert“ gilt — insbesondere wenn Sie durch eine täuschend echte SMS zur Überweisung bewogen wurden — ist eine Frage des konkreten Sachverhalts. Nach BGH-Rechtsprechung (XI ZR 107/22, März 2024) liegt die Beweislast für die ordnungsgemäße Autorisierung bei der Bank, nicht beim Kunden. Sichern Sie daher sofort alle Beweise und machen Sie den Anspruch schriftlich geltend. Wenn Sie sich dabei unsicher fühlen, ist eine anwaltliche Begleitung des Schreibens sinnvoll.
Was genau ist SMS-Spoofing und wie unterscheidet es sich von gewöhnlichem Phishing?
Beim SMS-Spoofing manipulieren Täter die technische Absenderkennung einer SMS, sodass auf Ihrem Gerät statt einer unbekannten Nummer ein vertrauter Name erscheint — beispielsweise „TradeRepubl“. Das Besondere: Smartphones gruppieren Nachrichten nach Absender-ID, sodass die gefälschte SMS im selben Chatverlauf wie echte Nachrichten des Unternehmens erscheint. Dies unterscheidet SMS-Spoofing wesentlich von klassischem E-Mail-Phishing, bei dem eine fremde Absenderadresse zumindest theoretisch erkennbar bleibt. SMS-Spoofing ist mit frei verfügbaren Online-Diensten technisch einfach durchführbar und ohne Vorkenntnisse kaum zu entlarven.
Hat Trade Republic eine rechtliche Pflicht, auf Betrugsopfer zu reagieren?
Ja. Als BaFin-regulierte Vollbank unterliegt Trade Republic zahlungsdienstrechtlichen Pflichten, die eine zeitnahe Reaktion auf gemeldete Betrugsfälle verlangen. Stiftung Warentest hat dokumentiert, dass Trade Republic im Fall Nicolas Keil weder auf dessen Hilfesuche noch auf Presseanfragen antwortete. Dieser Sachverhalt ist nicht nur eine PR-Frage, sondern kann als Verletzung vertraglicher Schutzpflichten nach § 280 BGB relevant sein. Wenn Sie als Betroffener ebenfalls keine Antwort erhalten, protokollieren Sie das sorgfältig — es ist ein wichtiger Baustein für ein mögliches Klageverfahren.
Wann liegt keine grobe Fahrlässigkeit vor — und wie ist das beim SMS-Spoofing zu bewerten?
Grobe Fahrlässigkeit im Sinne des § 675v BGB setzt eine besonders schwerwiegende Sorgfaltspflichtverletzung voraus. Der BGH hat am 22. Juli 2025 (XI ZR 107/24) klargestellt, dass nicht jede Handlung, die einem Betrug folgt, automatisch als grob fahrlässig einzustufen ist. Beim Trade Republic SMS-Spoofing erscheint die gefälschte Nachricht optisch identisch mit echten Nachrichten des Unternehmens und ist im selben Chatfenster eingebettet. Das LG Köln verneinte in einem strukturell vergleichbaren Call-ID-Spoofing-Fall (22 O 43/23, Januar 2024) grobe Fahrlässigkeit und ordnete vollständige Erstattung an. Entscheidend ist stets der konkrete Einzelfall — lassen Sie die Einschätzung nicht allein durch Trade Republic vornehmen.
Welche Behörden sollte ich nach einem SMS-Spoofing-Angriff einschalten?
Zunächst die Polizei oder die Cybercrime-Abteilung Ihres Bundeslandes — viele Länder bieten eine Online-Wache an. Eine detaillierte Strafanzeige mit allen Transaktionsdaten, Zeitstempeln und dem SMS-Screenshot sichert Beweismittel und begründet einen Verfolgungsauftrag nach § 152 StPO. Parallel sollten Sie Trade Republic schriftlich über den Vorfall informieren und Ihren Erstattungsanspruch nach § 675u BGB geltend machen. Bei ausbleibender Reaktion steht die Schiedsstelle der privaten Banken als außergerichtliche Instanz zur Verfügung. Eine spezialisierte Kanzlei kann dabei helfen, den Vorgang zu koordinieren, Fristen zu wahren und die rechtlichen Argumente wirkungsvoll zu bündeln.
Stand: Mai 2026. Dieser Beitrag gibt die zum Redaktionszeitpunkt veröffentlichte Faktenlage wieder. Er ersetzt keine individuelle Rechtsberatung. Quellen: Stiftung Warentest, 01.05.2026; FOCUS, 05.05.2026; BR24, 20.01.2026; Mimikama, 28.03.2026.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern