Crypto.com wusste Bescheid – Pflichtverletzung bei Scam-Flags und Untätigkeit

Einleitung – Wenn Warnsysteme versagen

Im Frühjahr 2025 registrierte das interne Risikosystem einer großen internationalen Krypto-Handelsplattform mehrere verdächtige Auszahlungen.
Zunächst griff die automatische Sicherheitsroutine: zwei Transfers wurden blockiert, die Zieladressen als „malicious and controlled by scammers“ markiert.
Nur drei Wochen später erlaubte dasselbe System jedoch neue Auszahlungen – diesmal über mehr als 40 ETH – an erneut betrugsverdächtige Wallets.

Was wie ein Einzelfall aussieht, ist ein strukturelles Compliance-Problem.
Das Unternehmen verfügte über eindeutige Risikosignale, handelte aber nicht.
Damit verletzte es nicht nur geldwäscherechtliche Sorgfaltspflichten, sondern auch datenschutz- und aufsichtsrechtliche Vorgaben.

Wie in Hortmann, AnwZert ITR 19/2025 Anm. 2 erläutert, kann die Duldung erkannter Risiken als rechtliche Leichtfertigkeit gewertet werden.
Das Ignorieren dokumentierter Warnsignale kann eine Pflichtverletzung nach §§ 10, 43, 46 GwG, § 25h KWG und unter Umständen sogar eine leichtfertige Geldwäsche nach § 261 Abs. 6 StGB begründen.
Vertiefend hierzu:
👉 Krypto Betrug: Finanzaufsicht und Haftung

1. Erkenntnislage – Der Betrugsverdacht war bekannt

Ein forensisches Gutachten dokumentierte, dass das System bereits Ende April 2025 mehrere Adressen als betrugsverdächtig einstufte und entsprechende Transfers stoppte.
Wenige Wochen später wurden jedoch neue Auszahlungen freigegeben – ohne zusätzliche Prüfung.
Interne Protokolle enthielten den Vermerk „Scam warning sent – no further action required“.

Gerade dieses „no action“ markiert den rechtlichen Wendepunkt.
Nach § 43 GwG hätte eine Verdachtsmeldung an die FIU erfolgen müssen;
nach § 46 GwG wäre die Transaktion bis zur behördlichen Rückmeldung auszusetzen gewesen.
Das Unterlassen dieser Meldung erfüllt den Tatbestand der Leichtfertigkeit i.S.v. § 261 Abs. 6 StGB.

Vergleichbare Abläufe finden sich in Fällen, die im Beitrag
👉 Schwarze Liste betrügerischer Plattformen – Oktober 2025
dokumentiert sind.

2. Rechtliche Pflicht zur Risikoreaktion (§ 25h KWG)

Nach § 25h KWG müssen Finanzdienstleister über wirksame Sicherungsmechanismen verfügen.
Ein Warnsystem nützt jedoch nichts, wenn die erkannten Risiken ignoriert werden.
Die BaFin-Auslegungshinweise 2024 bezeichnen dies als „Compliance Gap“ – eine Lücke zwischen Erkennung und Reaktion.

Die Verantwortung beginnt nicht erst bei konkretem Täterverdacht,
sondern schon, wenn objektive Anhaltspunkte für eine deliktische Herkunft der Vermögenswerte bestehen.
Ein Plattformbetreiber, der diese Signale unbeachtet lässt, riskiert eine aufsichts- und strafrechtliche Haftung.

Mehr zur Sorgfaltspflichtverletzung im Plattform-Kontext:
👉 Krypto Betrug: Rückbuchung nach Krypto-Transfer

3. Pflichtverletzung nach §§ 10, 43, 46 GwG

Das Geldwäschegesetz sieht eine gestufte Pflicht zur Reaktion vor:

• § 10 GwG – laufende Überwachung,
• § 43 GwG – sofortige Meldung,
• § 46 GwG – vorläufige Aussetzung.

Im vorliegenden Fall wurde keine dieser Pflichten beachtet.
Transaktionen liefen automatisiert weiter, obwohl Scam-Flags dokumentiert waren.
Nach BGH StV 2023, 742 Rn. 26 ff. handelt leichtfertig, wer offensichtliche Risiken erkennt, aber ohne Prüfung weiteragiert.

Vertiefend:
👉 Krypto Betrug: Internationale Geldwäscheketten

‍

4. Datenschutzrechtliche Parallele – Art. 32 DSGVO

Die unterlassene Reaktion auf Scam-Warnungen verletzt zugleich Art. 32 DSGVO.
Dieser verlangt technische und organisatorische Maßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten.
Risikomanagement und Transaktionsüberwachung sind integraler Bestandteil dieser Pflicht.

Das Ignorieren interner Risk-Flags bedeutet, dass Crypto.com kein wirksames Incident-Response-Konzept implementiert hat.
Wie Paal/Pauly Art. 82 Rn. 30 betonen, reicht schon die Untätigkeit bei bekannten Sicherheitsvorfällen für eine Schadensersatzpflicht aus.
Damit verschränkt sich Datenschutz- mit Geldwäscheaufsicht: Beide verlangen präventive Reaktion, nicht bloße Kenntnis.

5. Strafrechtliche Dimension – § 261 Abs. 6 StGB

5. Strafrechtliche Dimension – § 261 Abs. 6 StGB

Nach § 261 Abs. 6 StGB kann auch eine leichtfertige Geldwäsche vorliegen, wenn ein Finanzdienstleister trotz erkennbarer Verdachtsmomente untätig bleibt.
Leichtfertig handelt, wer Umstände unbeachtet lässt, die sich geradezu aufdrängen.
Das bewusste Ignorieren sogenannter Scam-Flags erfüllt diese Definition.

Die Rechtsprechung konkretisiert diesen Maßstab:
Im Urteil BGH StV 2023, 742 Rn. 28 heißt es:

„Leichtfertigkeit liegt vor, wenn der Täter die sich ihm aufdrängende Möglichkeit erkennt, aber aus Gleichgültigkeit nicht prüft.“

Ein Plattformbetreiber, der über auffällige Wallet-Adressen, ungewöhnliche Transaktionsmuster und abweichende Kundenprofile informiert ist, aber keine Maßnahmen ergreift, handelt somit pflichtwidrig im Sinne des Geldwäschetatbestands.
Die subjektive Tatseite (Erkennen und Unterlassen) und die objektive Pflichtverletzung sind erfüllt.
Vertiefende Analysen dazu finden sich in
👉 Krypto Betrug: Internationale Geldwäscheketten
und
👉 Schwarze Liste betrügerischer Plattformen – Update Oktober 2025.

6. Aufsichtsrechtliche Konsequenzen

Aus aufsichtsrechtlicher Sicht führt ein solches Verhalten zu einer doppelten Konsequenz:
Einerseits entsteht eine Anzeigepflicht gegenüber der BaFin nach § 25h KWG,
andererseits drohen Sanktionen nach § 56 GwG.
Die Aufsicht bewertet Untätigkeit trotz erkannter Risiken als Organisationsversagen.

In der Praxis können daraus Bußgelder, Lizenzbeschränkungen oder Maßnahmen nach § 51 Abs. 2 GwG folgen.
Wie Hortmann, AnwZert ITR 19/2025 Anm. 2 hervorhebt, verwandelt sich eine Plattform, die eigentlich Sicherheit gewährleisten soll, schnell in ein „Finanzvehikel für digitale Fahrlässigkeit“.
Die Nichtreaktion auf dokumentierte Betrugsindikatoren stellt damit einen systematischen Compliance-Verstoß dar.

Eine vertiefte Darstellung zur Plattformverantwortung bietet der Beitrag
👉 Crypto.com, OpenPayd & Foris MT – Die Plattformstruktur hinter Krypto-Betrug.

7. Zivilrechtliche Haftung und Schadensersatz

Neben der aufsichtsrechtlichen Haftung kommt eine zivilrechtliche Verantwortung hinzu.
Das Unterlassen angemessener Schutzmaßnahmen verletzt die Nebenpflichten aus dem Vertragsverhältnis (§ 241 Abs. 2, § 280 BGB).
Eine Handelsplattform ist verpflichtet, die Vermögensinteressen ihrer Nutzer im Rahmen des Verwahr- oder Zahlungsdienstleistungsvertrags zu wahren.

Hätte der Anbieter nach den dokumentierten Scam-Hinweisen die betroffenen Konten vorübergehend gesperrt oder eine manuelle Freigabe verlangt, wäre der Schaden vermeidbar gewesen.
Das Unterlassen solcher zumutbaren Maßnahmen begründet eine Schadensersatzpflicht nach allgemeinen zivilrechtlichen Grundsätzen.

Weitere Parallelen und Strategien zur Anspruchsdurchsetzung erläutert der Artikel
👉 Krypto Betrug: Schadensersatz gegen ausländische Plattformen
sowie
👉 Haftung der Bank bei Online-Betrug – Ihre Rechte und Ansprüche

‍

8. Fazit – Verantwortung durch Wissen

Die Plattform stand nicht im Dunkeln, sondern im Licht ihrer eigenen Systeme.
Wer Warnsignale erkennt und nichts unternimmt, begeht keine technische Panne, sondern eine rechtliche Pflichtverletzung.
Das Zusammenwirken von unterlassener Meldung (§ 43 GwG), fehlender Sperrung (§ 46 GwG) und passivem Risikomanagement (§ 25h KWG)
begründet Leichtfertigkeit im Sinne von § 261 Abs. 6 StGB und zivilrechtliche Haftung nach § 280 BGB.

Wie Hortmann, AnwZert ITR 19/2025 Anm. 2 festhält:

„Nicht der Betrug selbst, sondern das bewusste Wegsehen der Infrastruktur schafft den Rechtsverstoß.“

Die Plattform ist damit kein Opfer technischer Grenzen, sondern Teil eines strukturellen Problems: Pflichtverletzung durch Unterlassung trotz Wissen.

Vertiefend siehe:
👉 Crypto.com, OpenPayd & Foris MT – Plattformstruktur hinter Krypto-Betrug
👉 Krypto Betrug – Finanzaufsicht und Haftung
👉 Haftung der Bank bei Online-Betrug – Ihre Rechte und Ansprüche

‍

‍