kryptoschaden.de

Seit dem 10. Februar 2026 gilt die EU-Verordnung 2023/1113 (TFR II) unmittelbar in Deutschland. Krypto-Dienstleister und Kreditinstitute haben seither bei jedem Transfer von Kryptowerten vollständige Originator- und Empfängerdaten zu erheben, zu prüfen und fünf Jahre aufzubewahren. Wer diese Pflichten verletzt, haftet Geschädigten gegenüber aus § 823 Abs. 2 BGB als Schutzgesetzverstoß sowie aus § 280 BGB wegen vertraglicher Pflichtverletzung – mit erheblichen Folgen für die Beweislastverteilung.

Travel Rule II: Was die GwG-Novelle 2026 im Kern regelt

Die Verordnung (EU) 2023/1113 – allgemein als TFR II bezeichnet – ersetzt die bisherige Fondstransferverordnung 2015/847 und erstreckt den Anwendungsbereich erstmals vollständig auf Kryptowerte-Transfers unter Beteiligung von Crypto-Asset Service Providern (CASPs). Ergänzt wird TFR II durch die Anti-Money-Laundering-Regulation (AMLR, EU-VO 2024/1624), die gleichfalls ab dem 10. Februar 2026 anwendbar ist. Das deutsche Standortförderungsgesetz (StoFöG) hat die nationalen Rechtsgrundlagen im Geldwäschegesetz (GwG) hierauf abgestimmt und den Bußgeldrahmen des § 56 GwG erheblich verschärft.

Kernpflicht ist die lückenlose Weitergabe von Transferdaten: Bei jedem Krypto-Transfer zwischen CASPs sind nach Art. 4 und 5 TFR II vollständiger Name, Kontonummer bzw. Wallet-Adresse sowie mindestens ein weiteres Identifikationsmerkmal (Wohnanschrift, amtliche Dokumentennummer oder Geburtsdatum und -ort) des Auftraggebers mitzuführen. Für den Begünstigten genügen Name und Wallet-Adresse. Fehlen diese Daten, darf der Transfer nicht ausgeführt werden.

Das 21 Analytics Germany Travel Rule Overview fasst zusammen, dass BaFin in Deutschland keinen Schwellenwert unterhalb dessen Datenpflichten entfallen würden: Die Erhebungspflicht gilt ab dem ersten Cent.

Welche Normen greifen im Schadensfall?

Geschädigte, deren Kryptowerte über einen CASP oder ein Kreditinstitut transferiert wurden, das die TFR-II-Pflichten verletzt hat, können sich auf mehrere Anspruchsgrundlagen stützen.

§ 823 Abs. 2 BGB – Schutzgesetz: TFR II und GwG verfolgen nach ihrem Regelungszweck auch den Schutz individuell betroffener Personen vor Vermögensschäden durch Geldwäsche und Betrug. Damit sind die Sorgfaltspflichten aus §§ 10 ff. GwG sowie die Datenpflichten der Art. 4 ff. TFR II als Schutzgesetze im Sinne des § 823 Abs. 2 BGB einzustufen. Voraussetzung ist, dass der Geschädigte zum Schutzkreis der verletzten Norm gehört – was bei Opfern von Krypto-Betrug regelmäßig zu bejahen ist, da TFR II die Rückverfolgung betrügerischer Transaktionen sicherstellen soll.

§ 280 BGB – Pflichtverletzung im Schuldverhältnis: Zwischen dem Geschädigten und dem ausführenden Zahlungsdienstleister oder CASP besteht in aller Regel ein Vertragsverhältnis (Zahlungsdiensterahmenvertrag, Krypto-Depot-Vertrag). Verletzt der Dienstleister seine aus diesem Vertrag fließenden Nebenpflichten – insbesondere die Verdachtsmeldepflicht nach § 43 GwG sowie die Pflicht zum Transferstopp nach § 46 GwG – kann der Geschädigte Schadensersatz nach § 280 Abs. 1 BGB verlangen. Entscheidend: Das Vertretenmüssen wird nach § 280 Abs. 1 Satz 2 BGB vermutet; der CASP trägt die Beweislast für fehlende Fahrlässigkeit.

§ 675u und § 675v BGB: Bei nicht autorisierten Zahlungsvorgängen haftet das Zahlungsinstitut grundsätzlich auf Erstattung nach § 675u BGB. Haftungsausschlüsse des Instituts nach § 675v BGB greifen nicht, soweit das Institut seinen AML-Sorgfaltspflichten nicht nachgekommen ist. Ein LG Frankfurt hat jüngst einer Geschädigten rund 100.000 Euro zugesprochen, weil die kontoführende Bank bankrechtliche Sorgfaltspflichten bei einem kryptobezogenen Betrug verletzt hatte.

§ 826 BGB kommt ergänzend in Betracht, wenn dem Dienstleister nachgewiesen werden kann, dass er Warnhinweise auf Betrugsstrukturen bewusst ignoriert hat und damit sittenwidrig gehandelt hat.

Was bedeutet das für Geschädigte?

  • Self-Hosted-Wallet-Schwelle 1.000 Euro aktiviert verschärfte Pflichten: Nach Art. 14 Abs. 5 TFR II sowie den EBA Travel Rule Guidelines (EBA/GL/2024/11) ist der CASP ab einem Transferbetrag von 1.000 Euro verpflichtet, die Inhaberschaft der Self-Hosted-Wallet des Kunden zu verifizieren – per kryptografischer Signatur, Micro-Transaktion oder vergleichbarer Methode. Unterbleibt diese Prüfung und fließen Gelder an eine betrügerisch kontrollierte Adresse, liegt eine haftungsrelevante Pflichtverletzung vor. Die Sumsub FATF Travel Rule Übersicht 2026 erläutert die Unterscheidung zwischen Pflichten unter- und oberhalb der 1.000-Euro-Schwelle.
  • Sanktions-Hochrisiko-Adressen lösen Transferstopp aus: Transferiert ein CASP Kryptowerte an eine Wallet-Adresse, die auf einer Sanktionsliste (EU, OFAC, UN) geführt wird, greift die Pflicht zum sofortigen Transferstopp. § 46 GwG ordnet an, dass nach Abgabe einer Verdachtsmeldung die zugrundeliegende Transaktion zunächst nicht ausgeführt werden darf. Wird dennoch transferiert, eröffnet das unmittelbar einen Schadensersatzanspruch nach § 280 BGB.
  • Verletzung der Verdachtsmeldepflicht als § 280-BGB-Tatbestand: § 43 Abs. 1 GwG verpflichtet jeden GwG-Verpflichteten, Sachverhalte mit Geldwäschebezug unverzüglich der FIU zu melden. Unterbleibt die Meldung und setzt der CASP den Transfer fort, liegt eine vertragliche Pflichtverletzung vor, die nach § 280 Abs. 1 BGB zum Schadensersatz verpflichtet – wenn der Schaden kausal auf dem unterbliebenen Stopp beruht.
  • Fünfjährige Aufbewahrungspflicht als Beweismittel: Art. 26 TFR II schreibt vor, dass alle Transferdaten mindestens fünf Jahre aufzubewahren sind. Geschädigte können über anwaltliche Auskunfts- und Herausgabeansprüche Zugang zu diesen Datensätzen erstreiten, um die Betrugsstruktur nachzuweisen.

Praktisch bedeutsam ist die Beweislastverteilung: Da § 280 Abs. 1 Satz 2 BGB das Vertretenmüssen vermutet, trägt der CASP oder die Bank die Darlegungslast dafür, dass die Sorgfaltspflichten eingehalten wurden. Für Geschädigte erleichtert das die Prozessführung erheblich, weil sie die konkrete interne Compliance-Struktur des Gegners vollständig darzulegen hat.

Welche Schritte sind jetzt sinnvoll?

  1. Blockchain-Beweise sichern: Lassen Sie alle relevanten Transaktions-IDs (TxIDs), Wallet-Adressen und Zeitstempel durch einen Notar oder mittels zertifizierter Blockchain-Forensik dokumentieren. Dieser Nachweis ist Grundlage jeder späteren Anspruchsdurchsetzung.
  2. Dokumentation beim CASP anfordern: Fordern Sie schriftlich die gemäß Art. 26 TFR II aufbewahrten Transferdaten sowie sämtliche KYC-Unterlagen, Transaktionsüberwachungsprotokolle und etwaige interne Risikohinweise an. Verweigert der CASP die Herausgabe, kann dieser Umstand im Verfahren zu seinen Lasten gewertet werden.
  3. Anspruchsgrundlagen prüfen lassen: Die zivilrechtliche Geltendmachung setzt voraus, dass die konkrete Pflichtverletzung (fehlende Self-Hosted-Wallet-Verifizierung, unterbliebener Transferstopp bei Sanktionsadresse, versäumte FIU-Meldung) dem jeweiligen Dienstleister zugeordnet wird. Nur eine rechtliche Analyse des Gesamtsachverhalts ergibt, welche Anspruchsgrundlage – § 823 Abs. 2 BGB, § 280 BGB oder § 826 BGB – im Einzelfall trägt.
  4. Strafanzeige erstatten: Parallel zur zivilrechtlichen Geltendmachung empfiehlt sich eine Strafanzeige nach § 158 StPO, da die strafrechtliche Ermittlung zu Einfrierungsmaßnahmen nach § 111b StPO führen kann, die im Zivilverfahren vollstreckungsrechtlich verwertbar sind. Weitere Informationen zur Kombination zivilrechtlicher und strafrechtlicher Schritte finden Sie in unserem Artikel zur GwG-Novelle 2026 und Bankhaftung.
  5. Verjährung im Blick behalten: Der Anspruch aus § 823 Abs. 2 BGB verjährt nach §§ 195, 199 BGB in drei Jahren ab Kenntnis von Schaden und Schädiger. Bei Betrugsstrukturen, die erst durch Blockchain-Analyse aufgedeckt werden, beginnt die Frist frühestens mit dem Tag der Kenntnis.

Häufige Fragen

Macht TFR II die GwG-Sorgfaltspflichten zu Schutzgesetzen im Sinne des § 823 Abs. 2 BGB?

Ja. Schutzgesetz im Sinne des § 823 Abs. 2 BGB ist jede Rechtsnorm, die – neben ihrem allgemeinen Regelungszweck – auch dem Schutz individueller Interessen einer bestimmten Personengruppe dient. Die Pflichten aus §§ 10 ff. GwG und Art. 4 ff. TFR II zielen darauf ab, die Rückverfolgung kriminell erlangter Kryptowerte zu ermöglichen und damit zugleich potenzielle Betrugsopfer zu schützen. Dieser doppelte Zweck – Allgemeinschutz und Individualschutz – ist hinreichend für die Qualifikation als Schutzgesetz. Ein Verstoß durch einen CASP oder eine Bank begründet daher einen Deliktanspruch des Geschädigten aus § 823 Abs. 2 BGB.

Wann greift § 280 BGB bei verletzter Verdachtsmeldepflicht?

Zwischen dem Geschädigten und dem ausführenden Dienstleister besteht ein Schuldverhältnis – typischerweise ein Zahlungsdiensterahmenvertrag oder ein Krypto-Verwahrvertrag. Aus diesem Vertragsverhältnis erwachsen dem Dienstleister Schutzpflichten nach § 241 Abs. 2 BGB, zu denen auch die Pflicht gehört, erkennbare Betrugsstrukturen zu melden und den Transfer zu stoppen. Verletzt der Dienstleister § 43 GwG (Verdachtsmeldepflicht) und § 46 GwG (Transaktionsstopp), liegt eine Pflichtverletzung im Sinne des § 280 Abs. 1 BGB vor. Das Vertretenmüssen wird vermutet; der Dienstleister kann sich nur durch Nachweis fehlenden Verschuldens entlasten.

Was gilt bei Transfers an Sanktions-Hochrisiko-Adressen?

CASPs sind nach AMLR und GwG verpflichtet, eingehende und ausgehende Kryptowerte-Transfers gegen Sanktionslisten (EU-VO 2580/2001, EU-VO 881/2002, OFAC SDN-Liste) abzugleichen. Ergibt das Screening, dass die Ziel- oder Herkunftsadresse sanktioniert ist, greift eine Pflicht zum sofortigen Transferstopp. Ein Transfer, der trotz positivem Sanktionsabgleich ausgeführt wird, stellt sowohl eine GwG-Pflichtverletzung als auch eine vertragliche Pflichtverletzung dar. Geschädigte, deren Gelder an eine solche Adresse geflossen sind, können CASP oder Bank aus § 280 BGB auf Schadensersatz in Anspruch nehmen, sofern ein kausaler Schaden nachgewiesen wird.

Welche Bedeutung hat die Self-Hosted-Wallet-Schwelle von 1.000 Euro für Geschädigte?

Ab einem Transferbetrag von 1.000 Euro an eine Self-Hosted-Wallet verlangt Art. 14 Abs. 5 TFR II die Verifizierung der Wallet-Inhaberschaft durch den CASP. Unterbleibt diese Prüfung – etwa weil der CASP lediglich eine Selbstauskunft des Kunden akzeptiert hat, was nach BaFin-Leitfaden Juli 2025 nicht ausreicht – liegt eine haftungsrelevante Verletzung des TFR II vor. Für Betrugsopfer, deren Gelder über eine solche ungeprüfte Self-Hosted-Wallet abgeflossen sind, eröffnet diese Pflichtverletzung einen Schadensersatzanspruch auf Basis von § 823 Abs. 2 BGB in Verbindung mit Art. 14 Abs. 5 TFR II. Die fehlende Eigentümerprüfung ist dabei kein bloßer Formalverstoß, sondern der zentrale Sorgfaltsmangel, der den Schaden erst ermöglicht hat.

Einordnung

TFR II und GwG-Novelle 2026 sind Teil eines umfassenden EU-AML-Pakets, das Krypto-Transfers schrittweise den gleichen aufsichtsrechtlichen Standards wie klassische Banküberweisung unterwirft. Die AMLA (EU-VO 2024/1620) wird ab Juli 2027 von Frankfurt aus die direkte Aufsicht über die risikoreichsten CASPs übernehmen, womit die Überwachungsdichte weiter steigt. Für Geschädigte bedeutet dieser Trend: Die Argumentationslinie über § 823 Abs. 2 BGB und § 280 BGB gewinnt an Substanz, weil der Kreis der eindeutig schutzgesetztauglichen Normen durch jede neue EU-Sekundärrechtsverordnung wächst. Wer heute Ansprüche gegen einen CASP prüft, sollte diesen regulatorischen Rahmen vollständig in die Anspruchsanalyse einbeziehen.