Im Krypto-Betrug ist „Not your keys“ oft weniger eine Wahrheit als ein Ablenkungssatz – entscheidend ist die tatsächliche Kontrolle.

Einleitung

Kaum ein Begriff ist im Krypto-Kontext so aufgeladen wie „Custody“. Betroffene hören nach einem Verlust häufig Sätze wie: „Du hast selbst verwahrt, dann ist die Plattform raus.“ Oder umgekehrt: „Das war custodial, dann haftet die Plattform automatisch.“ Beides ist zu grob. Die Wahrheit liegt in der Systemarchitektur: Wer kontrolliert die Schlüssel, wer initiiert und signiert Transaktionen, wer hat Zugriff auf Sicherheitslogs, wer gestaltet die Autorisierungsschritte, wer kann Konten sperren, und wer betreibt das Risikomanagement?

Gerade in Betrugsfällen wird Custody relevant, weil sie die Verantwortungszonen markiert. Bei klassischer Verwahrung (custodial) ist die Plattform typischerweise Herrin der Infrastruktur und damit näher an Organisations- und Schutzpflichten; bei echter Selbstverwahrung (non-custodial) verlagert sich Risiko auf den Nutzer, aber nie „ins Nichts“. Denn auch in non-custodial Setups können Informationspflichten, irreführende Sicherheitskommunikation, fehlerhafte Freigabetexte oder prozessuale Darlegungsfragen haftungsrelevant werden.

Dieser Beitrag trennt Marketingworte von technischer Realität. Er zeigt, wie man Custody in der Praxis prüft, welche Modelle es gibt (Omnibus, segregierte Adressen, MPC, HSM, Smart-Contract-Wallets), wie Datenlecks und Account-Takeovers hineingreifen – und warum Custody nicht nur ein Krypto-Slogan, sondern ein juristischer Strukturbegriff ist.

Über den Autor

Max Nikolas Mischa Hortmann ist Rechtsanwalt mit Schwerpunkt Krypto-Betrug, Plattformverantwortung und digitale Forensik. Er ist Autor für juris, jurisPR-ITR und AZO (AnwZert ITR). Seine anwaltliche Arbeit und Einschätzungen zu Krypto-Scams, Bankhaftung und modernen Betrugsmodellen wurden unter anderem von BR24, WirtschaftsWoche+ und Business Insider Deutschland aufgegriffen.

‍

1. Warum Custody im Betrugsfall kein Krypto-Slogan, sondern ein Strukturbegriff ist

Custody entscheidet im Kern über Verantwortungszonen. Nicht über Moral, nicht über Schuld, sondern über Kontroll- und Organisationsbereiche. Die entscheidende Frage lautet: Wer kann faktisch verhindern, bremsen oder rückgängig machen, dass Vermögenswerte abfließen? Wer hält die technischen Hebel, wer sieht die Daten, wer kann sperren, wer signiert, wer betreibt die Infrastruktur?

Im Betrugsfall wird Custody oft taktisch benutzt. Plattformen neigen dazu, Verantwortung über das Narrativ „self-custody“ zu reduzieren; Betroffene neigen dazu, Verantwortung über „custodial“ zu erhöhen. Beides ist verständlich, aber wissenschaftlich unpräzise. Custody ist nicht „ja/nein“, sondern eine Architektur mit Varianten.

2. Custody-Modelle: Von Omnibus bis MPC – und warum die Labels täuschen

In der Praxis existieren mehrere Modelle, die nach außen ähnlich wirken, aber rechtlich und technisch unterschiedlich sind.

Ein Modell ist die klassische custodial Exchange-Struktur: Nutzer haben ein Konto, die Plattform hält Vermögenswerte in Sammelwallets (Omnibus), Transfers sind intern ledgerbasiert, Auszahlungen werden von der Plattform signiert.

Ein weiteres Modell ist die pseudo-segregierte Struktur, bei der Nutzer zwar individuelle Deposit-Adressen sehen, die Schlüsselkontrolle aber dennoch bei der Plattform liegt. Das schafft subjektiv das Gefühl von „eigener Wallet“, bleibt aber custodial.

Dann gibt es MPC-Modelle (Multi-Party Computation) oder HSM-gestützte Verwahrung, bei denen Schlüsselmaterial verteilt oder in Hardware gesichert ist. Für die Verantwortlichkeit kann das relevant sein, ändert aber nicht automatisch die Grundstruktur: Wenn die Plattform signiert und kontrolliert, bleibt es faktische Verwahrung.

Dem gegenüber steht echte Self-Custody: Nutzer kontrollieren die Private Keys, signieren selbst, die Plattform ist höchstens On-/Off-Ramp oder Interface.

Zwischenformen sind Smart-Contract-Wallets, Account-Abstraction-Modelle oder „embedded wallets“, bei denen Recovery-Mechaniken existieren. Gerade hier wird das Narrativ oft diffus: „Du hast deine Wallet“, aber faktisch gibt es Anbieterintervention oder Key-Sharing.

🔗 Vertiefende Analyse auf anwalt.de

Anwalt: Krypto-Betrug & Datenleck – DSGVO-Auskunft, Logfiles und Forensik gegen Crypto-Plattformen

Wenn nach einem Krypto-Betrug unklar ist, wer wann wie Zugriff hatte, sind Logfiles und DSGVO-Auskunft oft der entscheidende Schritt zur Rekonstruktion.

Der vollständige Fachbeitrag erläutert,

• welche Daten Sie konkret anfordern sollten,
• wie IP-Logs und Event-Records forensisch einzuordnen sind,
• und warum Informationsasymmetrien prozessual eine Rolle spielen.

👉 https://www.anwalt.de/rechtstipps/anwalt-krypto-betrug-und-datenleck-dsgvo-auskunft-logfiles-und-forensik-gegen-crypto-plattformen-slug-264485.html

‍

3. Die Prüfmatrix: Wie man Custody im Einzelfall seriös bestimmt

Wer Custody bestimmen will, braucht eine Matrix aus vier Dimensionen.

Erstens die Signaturdimension: Wer signiert On-Chain-Transaktionen? Wenn die Plattform signiert oder signieren kann, ist das ein starkes Indiz für Verwahrung oder jedenfalls Kontrolle.

Zweitens die Sperrdimension: Kann die Plattform Transfers blockieren, Konten einfrieren, Auszahlungen stoppen oder zeitlich verzögern? Je stärker diese Steuerbarkeit, desto näher liegt eine Verantwortungszone.

Drittens die Daten- und Logdimension: Wer hat die vollständigen Sicherheitsdaten (IPs, Device, Session, interne Freigaben, Risk Flags)? Bei echter Self-Custody liegen viele Daten beim Nutzer; bei Plattformcustody liegt die Wahrheit in den Systemen der Plattform.

Viertens die Kommunikationsdimension: Wie wird das Modell gegenüber Verbrauchern dargestellt? Werden Sicherheitsmechanismen suggeriert, die in self-custody so nicht existieren? Werden Risiken transparent gemacht? Diese Dimension ist juristisch relevant, weil sie Erwartungshorizonte prägt.

4. Datenleck und Custody: Warum Leaks die Kontrolle neu beleuchten

Ein Datenleck ist in Custody-Fragen ein Verstärker. In custodial Modellen führt ein Leak häufig zu Account-Takeover-Risiko: Wer die Zugangsdaten, Kommunikationskanäle oder KYC-Informationen kennt, kann Social Engineering perfektionieren. Dann entsteht die Frage, ob die Plattform ihre Authentifizierungs- und Recovery-Prozesse ausreichend robust gestaltet hat.

In non-custodial Modellen führt ein Leak nicht unmittelbar zum Abfluss, weil der Schlüssel beim Nutzer liegt. Aber auch hier kann ein Leak haftungsrelevant werden, wenn die Plattform als On-/Off-Ramp Prozesse anbietet, die in Scam-Lagen systematisch missverstanden werden, oder wenn sie Warnmechanismen und Risiko-Kommunikation unzureichend gestaltet.

5. Vertrags- und Verbraucherrecht: Warum Custody Erwartungen normativ auflädt

Custody ist nicht nur Technik. Sie wirkt in Verbraucherbeziehungen normativ, weil der Vertragszweck anders verstanden wird. Wer eine Plattform als Verwahrer nutzt, erwartet typischerweise mehr Schutzmechanik, mehr Monitoring, mehr Eingriffsoptionen. Wer Self-Custody nutzt, akzeptiert mehr Eigenverantwortung, erwartet aber im Gegenzug klare Risikoinformation und keine irreführende Sicherheitssemantik.

Gerade im Bereich „non-custodial narrativ“ ist wissenschaftlich wichtig: Wenn ein Anbieter sich nach außen als „nur Software“ oder „nur Interface“ darstellt, faktisch aber zentrale Eingriffs- oder Signaturkontrollen hat, kann das in der Bewertung der Pflichtenlage relevant werden. Dann ist nicht entscheidend, wie der Anbieter das nennt, sondern wie die tatsächliche Kontrolle aussieht.

‍

6. Prozessualer Kern: Custody bestimmt auch Darlegungslasten

Custody beeinflusst, was Betroffene überhaupt darlegen können. Wenn die Plattform signiert, überwacht, loggt und freigibt, ist die Informationsasymmetrie hoch. Dann wird sekundäre Darlegungslast und die Verwertbarkeit von DSGVO-Auskunft zentral.

Wenn dagegen echte Self-Custody vorliegt, liegt mehr Beweismaterial beim Nutzer: Wallet-Historie, Signaturen, Seed-Phrase-Handling, Transaktionsdaten. Dann verschiebt sich die Analyse stärker auf Täuschung, Kommunikationslage und ggf. On-/Off-Ramp-Pflichten.

7. Häufige Fehlschlüsse – und wie man sie wissenschaftlich korrigiert

Ein verbreiteter Fehlschluss lautet: „Custodial = Haftung automatisch.“ Das stimmt nicht. Custodial ist eine Näheindikation, keine Haftungsgarantie. Es kommt auf Pflichtverletzung, Kausalität, Zumutbarkeit, Mitverursachung und konkrete Risikolage an.

Ein zweiter Fehlschluss lautet: „Non-custodial = Plattform immer raus.“ Auch das stimmt nicht. Non-custodial kann Informations- und Warnpflichten, irreführende Sicherheitskommunikation, fehlerhafte Prozessgestaltung oder prozessuale Darlegungspflichten nicht eliminieren.

Ein dritter Fehlschluss lautet: „Wenn es on-chain war, ist es self-custody.“ On-chain-Transaktionen können auch in custodial Systemen stattfinden; entscheidend ist, wer signiert und kontrolliert.

8. Praktische Verwertbarkeit: Wie man Custody in Aktenmaterial übersetzt

Für die Praxis ist entscheidend, Custody nicht abstrakt, sondern anhand von Dokumenten und Artefakten zu belegen: Terms of Service, Produktbeschreibungen, Wallet-Architekturhinweise, Auszahlungsprozesse, Security-Features, Support-Kommunikation, DSGVO-Auskunftsdaten, On-Chain-Analyse (z. B. ob Auszahlungen aus Sammelwallets erfolgen), interne Transferkennzeichnungen.

Wissenschaftlich sauber heißt: Man behauptet nicht „die verwahren“, sondern man zeigt, welche Kontrollakteure wo sitzen.

9. Ergebnis: Custody ist die Landkarte, nicht der Schuldspruch

Custody ist im Betrugsfall die Landkarte, auf der Verantwortungszonen eingezeichnet werden. Wer kontrolliert Keys, signiert, überwacht, sperrt, gestaltet Autorisierung? Daraus folgt nicht automatisch Haftung, aber daraus folgt, welche Pflichten plausibel sind und welche Argumentationslinien seriös sind.

Wenn du diese Landkarte sauber zeichnest, vermeidest du die beiden häufigsten Prozessfehler: einerseits die Überdehnung („die müssen alles verhindern“), andererseits die Selbstentwertung („ich habe geklickt, also ist alles aussichtslos“). Custody-Analyse ist genau das: der Schritt von Emotion zu Struktur.

Sie müssen diese Struktur nicht allein klären.
Wenn Sie von Krypto-Betrug oder einem möglichen Datenleck betroffen sind, prüfen wir Ihren Fall technisch, juristisch und strategisch – strukturiert und ohne Schnellschüsse.

📞 0160 9955 5525
🌐 hortmannlaw.com/contact

Eine frühzeitige, geordnete Analyse verhindert Fehlentscheidungen – und sichert Beweise.

FAQ

1. Was bedeutet „custodial“ im Haftungskontext?
Dass die Plattform faktisch Kontrolle über Signatur, Schlüssel oder Auszahlungslogik hat.

2. Bedeutet non-custodial automatisch keine Haftung?
Nein. Auch bei Self-Custody können Informations- und Organisationspflichten bestehen.

3. Wie prüft man, wer wirklich Kontrolle hatte?
Über Signaturmechanik, Recovery-Prozesse, Sperr- und Limitfunktionen sowie Systemlogs.

4. Ist „Not your keys“ rechtlich entscheidend?
Nein. Entscheidend ist tatsächliche technische und organisatorische Kontrolle.

Mini-FAQ

• Sind Sammelwallets automatisch Custody? → Meist ja.
• Spielt Marketing eine Rolle? → Ja, für Erwartungshorizonte.

‍

Weiterführende Analysen – Serie „Anwalt | Krypto | Betrug | Datenleck“

Diese Artikel sind Teil einer strukturierten Analyse-Reihe zu Krypto-Betrug, Plattformverantwortung und Datenleck-Konstellationen:

1. Policy Score & Risikosysteme
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-policy-score-haftung

2. Withdrawal Lock & Whitelisting
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-withdrawal-lock-whitelisting

3. Custody-Realität & Plattformverantwortung
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-custody-realitaet

4. IP-Logs, DSGVO-Auskunft & Beweislast
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-ip-logs-beweislast

5. Verdichtungszeitpunkt & Warnpflichten
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-verdichtungszeitpunkt-warnpflicht

6. Klage in Deutschland trotz Schiedsklausel
www.hortmannlaw.com/articles/anwalt-krypto-betrug-datenleck-klage-deutschland-schiedsklausel-og-titel

Weiterführende Fachbeiträge und vertiefende Analysen

Die nachfolgenden Beiträge vertiefen einzelne rechtliche Parameter, die in diesem Leitfaden bewusst nur systematisch eingeordnet wurden. Sie dienen der inhaltlichen Vertiefung, der Beweisarchitektur sowie der Einordnung spezieller Konstellationen. Alle Verlinkungen führen zu bereits veröffentlichten Fachartikeln.

1. Transaktionsmuster und Zahlungsstrukturen

Diese Beiträge analysieren objektive Auffälligkeiten im Zahlungsverkehr, die als erste haftungsrelevante Prüfungsstufe dienen können:

• Transaktionsmuster bei Krypto-Betrug – Haftung der Bank und Geld-zurück-Ansätze
  https://www.hortmannlaw.com/articles/krypto-betrug-transaktionsmuster-haftung-bank-geld-zurueck-teil-1
• Haftung der Empfängerbank bei Krypto-, Love-Scam- und Anlagebetrug
  https://www.hortmannlaw.com/articles/krypto-betrug-love-scam-anlagebetrug-empfaengerbank-haftung-anwalt
• Überweisung, Rückforderung und Geldwäscheanhörung nach Krypto-Betrug
  https://www.hortmannlaw.com/articles/krypto-betrug-anwalt-ueberweisung-rueckforderung-geldwaesche-anhoerung-polizeianzeige

2. Verhaltensmuster, Manipulation und fehlende Autonomie

Diese Beiträge befassen sich mit Konstellationen, in denen das Verhalten von Betroffenen für Banken erkennbar nicht mehr autonom war:

• Verhaltensmuster bei Krypto-Betrug – Haftung der Bank bei erkennbarer Manipulation
  https://www.hortmannlaw.com/articles/krypto-betrug-verhaltensmuster-haftung-bank-geld-zurueck-teil-2
• Love-Scam und Plattformhaftung – wenn Warnsignale ignoriert werden
  https://www.hortmannlaw.com/articles/love-scam-plattformhaftung-opfer-anwalt
• Beweissicherung bei Love-Scam – Krypto-Analyse und forensische Dokumentation
  https://www.hortmannlaw.com/articles/beweissicherung-love-scam-krypto-detektei-kanzlei

3. Risikomuster, AML-Signale und Organisationsversagen

Diese Beiträge vertiefen die dritte und regelmäßig entscheidende Haftungsstufe: interne Risikomuster und bankseitige Organisation:

• Risikomuster bei Krypto-Betrug – interne Bankwarnsignale und Organisationsverschulden
  https://www.hortmannlaw.com/articles/krypto-betrug-risikomuster-haftung-bank-geld-zurueck-teil-3
• Geldwäschevorwürfe gegen Opfer von Krypto-Betrug – rechtliche Einordnung
  https://www.hortmannlaw.com/articles/krypto-betrug-geldwaeschevorwuerfe
• Verstoß gegen Geldwäschevorschriften im Krypto-Betrug
  https://www.hortmannlaw.com/articles/krypto-betrug-einordnen-verstoss-gegen-geldwasche-vorschriften

4. Plattformen, Wallets und technische Beweisfragen

Diese Beiträge sind relevant für die Beweisführung, insbesondere bei Krypto-Transfers und Plattformbezug:

• Wallet-Beweise bei Krypto-Betrug – Blockchain-Analyse und Anspruchsdurchsetzung
  https://www.hortmannlaw.com/articles/krypto-betrug-wallet-beweise-opfer-anwalt
• Krypto-Betrug analysieren – Layering, Chain-Hopping und Geldverschleierung
  https://www.hortmannlaw.com/articles/krypto-betrug-analysieren-anwalt-erklart-layering
• On-Chain-Ermittlungen bei Krypto-Betrug
  https://www.hortmannlaw.com/articles/on-chain-ermittlungen-krypto-betrug-anwalt

5. Plattformverantwortung und Sonderkonstellationen

Diese Beiträge behandeln Konstellationen jenseits der klassischen Bankhaftung:

• Crypto.com – Haftung bei Betrugsopfern und AGB-Grenzen
  https://www.hortmannlaw.com/articles/crypto-com-agb-haftung-betrugsopfer-wallet-uebernahme
• Klage gegen Crypto.com wegen Plattformversagen
  https://www.hortmannlaw.com/articles/klage-gegen-crypto-com-plattform-betrug
• Plattformverantwortung bei DeFi-Betrug
  https://www.hortmannlaw.com/articles/plattform-verantwortung-defi-krypto-betrug-anwalt

6. Verfahrensrecht, Durchsetzung und flankierende Maßnahmen

Diese Beiträge betreffen die prozessuale und strategische Umsetzung:

• Adhäsionsverfahren und Schadensersatz im Krypto-Betrugsfall
  https://www.hortmannlaw.com/articles/adhasionsverfahren-und-schadensersatz-im-krypto-betrugsfall
• Klage gegen die Bank bei Betrug – Gerichtspraxis
  https://www.hortmannlaw.com/articles/klage-gegen-die-bank-betrug

‍