Krypto Betrug: Datenlecks auf Plattformen – Wenn Sicherheit zum Risiko wird

Datenpanne bei der Exchange, kompromittierte Logins, gescrapte Profile – was Betroffene jetzt rechtlich durchsetzen können und wofür Plattformen haften.

Einleitung

Krypto-Plattformen verwalten heute Millionen von Nutzerkonten, Wallet-Zugängen und Transaktionsdaten. Gerät eine dieser Datenquellen ins Rutschen – ob durch Hacking, fehlerhafte Sicherheitskonfiguration, Social-Engineering im Support oder schlicht mangelhafte Prozesse – sind die Folgen für Betroffene gravierend: unautorisierte Logins, Abflüsse aus Custody-Wallets, Betrugsanbahnungen über Phishing, Identitätsdiebstahl und im schlimmsten Fall Totalverlust. Juristisch ist die Lage klarer, als viele annehmen: Plattformen tragen die Verantwortung für den Schutz personenbezogener Daten und Transaktions-Metadaten. Kommt es zu einem Datenleck, greifen Informations- und Benachrichtigungspflichten, Schadensersatzansprüche sowie aufsichtsrechtliche Risiken.

Dieser Aufsatz bündelt – mandatsorientiert – die zivil- und datenschutzrechtlichen Hebel, zeigt die Beweisstrategie für Betroffene und erklärt, wie Sie mit wenigen, gut gesetzten Schritten riskante Verzögerungstaktiken der Plattform durchbrechen. Die Hinweise gelten plattformunabhängig; wer bei Anbietern wie Crypto.com, Binance & Co. Konten hält, findet hier eine belastbare Handlungsarchitektur.

1. Was genau ist ein „Datenleck“ auf Krypto-Plattformen?

Unter einem Datenleck (Data Breach) versteht Art. 4 Nr. 12 DSGVO jede Verletzung der Sicherheit, die zur vernichteten, verlorenen, veränderten, unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Im Krypto-Kontext betrifft das typischerweise:

• Account-Stammdaten (Name, E-Mail, Telefonnummer, Wohnsitz, KYC-Unterlagen),
• Login- und Sitzungsdaten (Login-Zeit, IP-Adresse, Geräte-ID, 2FA-Status),
• Transaktions-Metadaten (interne Transfer-IDs, Empfänger-Wallets, AML-Vermerke),
• Kommunikationsdaten (Support-Tickets, Chat-Protokolle),
• ggf. Geolokalisierung / Risk-Scores.

Schon der Kontrollverlust über diese Daten kann einen immateriellen Schaden begründen. Das ist zentral: Schadensersatz hängt nicht von einem „Kontoplünderungseffekt“ ab; das bloße Risiko, Opfer von Betrug zu werden, kann rechtlich relevant sein.

2. Rechte der Nutzer – Ihre Durchsetzungshebel unmittelbar nach dem Breach

2.1 Benachrichtigung und Information

Plattformen müssen den Vorfall unverzüglich an die Aufsicht melden (Art. 33 DSGVO) und betroffene Nutzer ohne schuldhaftes Zögern informieren, wenn ein hohes Risiko für Rechte und Freiheiten besteht (Art. 34 DSGVO). Eine „wir melden in 90 Tagen“-Kommunikation reicht nicht. In der Praxis sehen wir:

• zu späte, zu vage Mails („es gab Auffälligkeiten“),
• fehlende Angaben zu Art der Daten, Zeitfenster, Risikoeinschätzung, empfohlenen Maßnahmen,
• kein Ansprechpartner, keine Fall-ID.

Konsequenz: Eine mangelhafte oder verspätete Information begründet einen eigenen Pflichtverstoß, der Ihrer Anspruchsdurchsetzung zusätzliches Gewicht verleiht.

2.2 Auskunft und Kopie der Daten (Art. 15 DSGVO)

Für die Beweissicherung ist Art. 15 DSGVO Ihr stärkster Hebel. Sie können Auskunft und Kopien aller verarbeiteten personenbezogenen Daten verlangen – einschließlich:

• vollständiger Transaktions- und Log-Daten (Login-Zeitpunkte, IPs, Geräte-Fingerprints, 2FA-Status),
• AML/Compliance-Vermerke zu Ihrem Konto (internes Risk-Scoring, „red flags“, Freeze-Entscheidungen),
• Empfängerkategorien und konkrete Empfänger (Dienstleister, Cloud-Provider, Analyse-Partner),
• Sicherheitsvorfall-Dokumente (Incident-ID, betroffene Datenkategorien, Zeitpunkt, erkannte Angriffsmethode).

Tipp: Verlangen Sie die Daten in maschinenlesbarer Form (CSV/JSON) – nur so sind spätere forensische Auswertungen (z. B. Abgleich mit Ihren Geräten/Netzen) ohne Medienbruch möglich.

2.3 Löschung (Art. 17 DSGVO) und Einschränkung (Art. 18 DSGVO)

Ist die Verarbeitung unrechtmäßig oder der Zweck entfallen, können Sie Löschung verlangen. Parallel können Sie Einschränkung fordern, damit bis zur Klärung keine weitere Datenweitergabe erfolgt (wichtig, wenn Scam-Wellen auf alten Leak-Listen beruhen).

2.4 Schadensersatz (Art. 82 DSGVO)

Sie haben Anspruch auf materiellen und immateriellen Schadensersatz. Immaterieller Schaden ist nicht an Schmerzensgeldmaßstäbe gekoppelt – maßgeblich ist, welcher Kontrollverlust und welches Risiko entstanden ist (Phishing-Gefahr, Identitätsmissbrauch, Kreditkarten-Monitoring, Aufwand der Schutzmaßnahmen). Materielle Schäden: Kosten für Sicherheitssoftware, Nummer/Pass-Wechsel, Rechtsberatung, Monitoring-Dienste, ggf. Zahlungsabflüsse.

3. Haftung der Plattformen – wofür Anbieter einstehen müssen

3.1 Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verlangt angemessene Sicherheit – Stand der Technik, Pseudonymisierung/Verschlüsselung, 2FA-Erzwingung, Härtung von API/Support-Prozessen, Least-Privilege-Zugriffe, Protokollierung und regelmäßige Audits. Bei Krypto-Plattformen kommen besondere TOMs hinzu:

• Härtung der 2FA-Kette (keine Fallback-Entsperrungen per „Selfie-Video“ ohne starke Gegenprüfung),
• Transaktions-Anomalieerkennung (Geo-Sprung, Device-Wechsel, Betragssprünge → Step-Up-Auth),
• „Break-the-Glass“-Prozeduren im Support (kritische Änderungen nur mit Mehr-Augen-Prinzip),
• Schutz vor SIM-Swap-Vektoren (keine SMS-2FA als Default, FIDO2-Keys fördern),
• Segmentierung (Trennung personenbezogener Daten von Produktions-Systemen).

Fehlen solche Maßnahmen oder werden sie nicht konsequent angewendet, liegt Pflichtverletzung vor – die Plattform haftet.

3.2 Informationspflichten bei Sicherheitsvorfällen

Die Benachrichtigung muss konkret sein: Was ist passiert? Welche Datenkategorien sind betroffen? Welche individuellen Risiken entstehen? Welche Schritte empfiehlt die Plattform (Passwort-Reset, Key-Rotation, Wallet-Freeze)? Eine generische „Wir nehmen Sicherheit ernst“-Mail genügt nicht – das ist rechtswidrig.

3.3 Parallele vertragliche Haftung (§§ 280 ff. BGB)

Neben Datenschutz gelten vertragliche Schutzpflichten: Wer Trading-/Custody-Dienste anbietet, schuldet sichere, robuste Prozesse. Wird Ihr Konto infolge eines Plattform-Leaks geentert (z. B. Credential-Stuffing, Support-Bypass), sind vertragliche Schadensersatzansprüche eröffnet – zusätzlich zu Art. 82 DSGVO. Wichtig: Der Anbieter trägt die Darlegungs- und Beweislast für die Angemessenheit seiner TOMs; vage Verweise auf „Branchenstandard“ reichen nicht.

4. Crypto.com, Binance & Co. – Besonderheiten im Krypto-Umfeld

Viele Anbieter arbeiten mit mehrgliedrigen Konzern-/Lizenzstrukturen (EU-Niederlassung, globaler App-Anbieter, ausgelagerte Support-Center). Für Betroffene bedeutet das:

• DSGVO gilt extraterritorial, sobald Daten von EU-Nutzern verarbeitet werden.
• Es gibt mindestens eine EU-Gesellschaft (z. B. in Litauen, Irland, Malta), gegen die Sie Auskunft, Löschung, Schadensersatz richten können.
• Bei Crypto.com (und vergleichbaren Anbietern) ist es strategisch sinnvoll, parallel die EU-Gesellschaft (DSGVO) und die globale App-Gesellschaft (vertraglich/ deliktisch) anzuschreiben – so vermeiden Sie das „Zuständigkeits-Ping-Pong“.

5. Beweisstrategie – so sichern Sie Ihren Fall

Ziel ist eine gerichtsfeste, lückenlose Kette aus Vorfall → Risiko → konkreter Beeinträchtigung. Empfehlenswert:

1. Forensische Sofort-Sicherung
   • Screenshots der Benachrichtigung/Statusseiten,
   • Export der Login-Historie (Zeit, IP, Device),
   • 2FA-Protokolle (Erstellung, Änderungen, Fallbacks),
   • Transaktions-CSV/JSON.
2. Auskunftspaket Art. 15 DSGVO
   Fordern Sie konkret:
   • sämtliche Login- und Sicherheitslogs,
   • AML-/Risikovermerke zu Ihrem Konto,
   • intern registrierte Datenempfänger (Cloud, Analytics, Support-BPO),
   • Dokumente zum Incident (Ticket-ID, Zeitpunkt, betroffene Systeme, ergriffene Maßnahmen).
3. Technische Gegenprüfung
   • Abgleich der fremden Logins mit Ihren IP-Räumen/Devices,
   • Plausibilität der Zeitstempel,
   • Prüfung von „Step-Up“-Events (wurden zusätzliche Authentifizierungen angefordert?).
4. Schadenserfassung
   • Materiell: Abflüsse, Dienstekosten (Monitoring, Pass/ID-Wechsel), IT-Forensik.
   • Immateriell: Dokumentieren Sie Belästigungen/Phishing-Wellen, Aufwand und Sorgen (Tagebuch).

Wichtig: Fordern Sie die Daten maschinenlesbar an. Tabellen- oder JSON-Formate sind vor Gericht auswertbar und vergleichbar.

6. Anspruchsarchitektur – in welcher Reihenfolge vorgehen?

1. DSGVO-Auskunft + Benachrichtigungs-Rüge
   – Frist 14 Tage, Androhung Aufsichtsbeschwerde.
2. Schadensersatzaufforderung (Art. 82 DSGVO)
   – beziffert nach Aufwand/Monitoring + immateriell (Kontrollverlust).
3. Vertraglicher Schadensersatz (§ 280 BGB)
   – bei nachweisbarer Prozess-/TOM-Schwäche.
4. Einstweilige Verfügung
   – bei akutem Missbrauch: Sicherungs-/Unterlassungsansprüche, z. B. keine Datenweitergabe, Login-Sperre, Key-Rotation.
5. Strafanzeige (optional)
   – wenn kriminelle Nutzung Ihrer Daten dokumentiert ist (Phishing-Wellen, Identitätsdiebstahl).

Parallel: Aufsichtsrechtlicher Druck (Beschwerde bei der Landesdatenschutzbehörde) erhöht die Vergleichsbereitschaft spürbar.

7. Typische Verteidigungsargumente der Plattform – und die passende Erwiderung

• „Kein Nachweis eines konkreten Schadens.“
  → Immaterieller Schaden liegt bereits im Kontrollverlust; konkrete Missbräuche erhöhen nur die Höhe, nicht den Grund.
• „Phishing, Eigenverschulden des Nutzers.“
  → Phishing ist kein Freibrief. Frage ist, ob die Plattform angemessene Step-Up-Checks und Support-Härtung hatte. Bei 2FA-Bypass und „Selfie-Reset“ liegt die Ursache regelmäßig plattformseitig.
• „Branchenstandard eingehalten.“
  → Stand der Technik ist dynamisch. Verweisen Sie auf 2FA-Erzwingung, FIDO2-Keys, Geo-/Device-Anomalieerkennung, Support-Mehr-Augen-Prinzip. Wer das nicht durchgängig nutzt, ist unterstandardisiert.
• „Wir sind nicht der richtige Rechtsträger.“
  → DSGVO greift über Art. 3 Abs. 2; es genügt, dass die Plattform Nutzer in der EU adressiert. Parallelhaftung der EU-Gesellschaft ist regelmäßig gegeben.

8. Besonderer Mandatsfokus: Wenn zusätzlich Krypto abgeflossen ist

Datenleck und Asset-Abfluss sind häufig verknüpft. Hat der Leak zu unautorisierten Transaktionen geführt:

• Technik: Wallet-Pfad sichern (TX-Hashes), zeitnaher Arrest bei identifizierten Verwahrern/Exchanges anregen.
• Zivilrecht: zusätzlich zu Art. 82 DSGVO vertragliche und deliktische Ansprüche (Schadenersatz, ggf. § 826 BGB).
• Strafrecht: Anzeige, um Rechtshilfe/ Sicherstellungen zu ermöglichen.
• Steuer/Compliance: Hinweis an Mandanten: spätere Rückforderungen und Erstattungen haben steuerliche Implikationen – früh dokumentieren.

9. Checkliste – Musterpunkte für Ihr erstes Anwaltsschreiben

1. Betreff: Datenschutzverletzung / Auskunfts- und Schadensersatzanspruch (Art. 15, 34, 82 DSGVO) – Ihr Nutzer: [Name], Account-ID: […].
2. Begehren:
   • Vollständige Auskunft und Kopien sämtlicher personenbezogener Daten inkl. Login-/Transaktionslogs, AML-Vermerke, Empfängerlisten, Incident-Report.
   • Benachrichtigungspflicht: detaillierte Darstellung nach Art. 34 Abs. 2 DSGVO.
   • Schadensersatz: bezifferter materieller + immaterieller Schaden (Kontrollverlust).
3. Frist: 14 Tage; Androhung: Aufsichtsbeschwerde, gerichtliche Geltendmachung.
4. Beweissicherungsklausel: Aufforderung, sämtliche Log-/Incident-Daten forensiksicher zu konservieren (Legal Hold).

Fazit

Datenlecks auf Krypto-Plattformen sind mehr als ein IT-Problem – sie sind rechtlich teuer. Für Betroffene gilt: Tempo schlägt Taktik. Wer Auskunfts-, Benachrichtigungs-, Lösch- und Schadensersatzrechte umgehend und strukturiert geltend macht, zwingt Plattformen in die Defensive. In Fällen mit Vermögensabfluss kombinieren Sie DSGVO-Ansprüche mit vertraglichen/ deliktischen Ersatzansprüchen und – sofern nötig – strafprozessualen Sicherungen.

Ich übernehme für Sie die forensische Erstaufnahme, die Durchsetzung der Auskunft/Kopie, die Bezifferung des immateriellen Schadens (Kontrollverlust-Dokumentation) und – bei Krypto-Abfluss – die Parallelstrategie aus Arrest, Rechtshilfe und Zivilklage.

‍

Wer Opfer eines Krypto-Betrugs geworden ist, sollte nicht zögern, anwaltliche Hilfe einzuholen, um Beweise zu sichern, Ansprüche vorzubereiten und den Informationsaustausch mit Behörden zu steuern.

👉 Kostenlose Erstberatung anfordern
Ihre Daten werden streng vertraulich behandelt.

Weiterführende Artikel zum Thema Krypto-Betrug

Anwaltlicher Überblick zu Krypto-Betrug: Ihre Rechte als Opfer

Krypto-Betrug hat sich zu einem der komplexesten und am schnellsten wachsenden Betrugsphänomene der letzten Jahre entwickelt. Als auf Finanz- und IT-Recht spezialisierte Kanzlei beraten wir geschädigte Anleger bei der zivilrechtlichen Rückforderung, strafrechtlichen Anzeige sowie der Haftung von Plattformen und Vermittlern. Nachfolgend finden Sie eine Auswahl vertiefender Fachbeiträge zu verschiedenen Aspekten des Krypto-Betrugs – von Blockchain-Spurensuche bis zur Haftung internationaler Börsen.

1. Adhäsionsverfahren und Schadensersatz im Krypto-Betrugsfall
   https://www.hortmannlaw.com/articles/adhasionsverfahren-und-schadensersatz-im-krypto-betrugsfall  
2. Die Rolle von Smart Contracts im Krypto-Betrug: Sicherheitslücken und rechtliche Risiken
   https://www.hortmannlaw.com/articles/die-rolle-von-smart-contracts-im-krypto-betrug  
3. Einführung in den Krypto-Betrug: Typologien und Vorgehensweisen
   https://www.hortmannlaw.com/articles/einfuhrung-in-den-krypto-betrug-typologien-und-vorgehensweisen      
4. Krypto Betrug: Rückbuchung nach Krypto-Transfer – Gibt es eine rechtliche Chance?
   https://www.hortmannlaw.com/articles/rueckbuchung-krypto-transfer      
5. Krypto-Address-Hijacking – Falsche Wallet-Adressen und Blockchain-Beweisführung
   https://www.hortmannlaw.com/articles/krypto-address-hijacking  
6. Krypto-Betrug und Rückzahlung – steuerliche Behandlung von Recovery-Geldern
   https://www.hortmannlaw.com/articles/steuerliche-behandlung-recovery-gelder  
7. Krypto-Betrug via WhatsApp, Telegram & Co.
   https://www.hortmannlaw.com/articles/krypto-betrug-via-whatsapp-telegram-co-ratgeber-fur-betroffene          
8. Recovery Scams nach Krypto-Betrug – Die zweite Täuschungswelle
   https://www.hortmannlaw.com/articles/recovery-scam-krypto-betrug      
9. SCHUFA Eintrag Krypto Betrug
   https://www.hortmannlaw.com/articles/schufa-eintrag-krypto-betrug        
10. Steuern Krypto Betrug Verluste
    https://www.hortmannlaw.com/articles/steuern-krypto-betrug-verluste    
11. Strafanzeige Krypto Betrug
    https://www.hortmannlaw.com/articles/strafanzeige-krypto-betrug            
12. AGB im Krypto-Handel – Verantwortung der Plattformen und Grenzen der Haftung
    https://www.hortmannlaw.com/articles/agb-krypto-plattform-verantwortung-haftung      
13. Binance Steuerfahndung Krypto-Wallets
    https://www.hortmannlaw.com/articles/binance-steuerfahndung-krypto-wallets  
14. Crypto.com, OpenPayd, Foris MT und ihre Verantwortung bei Krypto-Betrug
    https://www.hortmannlaw.com/articles/die-plattformstruktur-hinter-crypto-com-openpayd-und-foris-mt-hintergrunde-pflichten-und-ihre-rechte      
15. DAC7 und DAC8 - Meldepflichten für Krypto und Plattformen - Neue Transparenzregeln
    https://www.hortmannlaw.com/articles/dac7-und-dac8-meldepflichten-fur-krypto-und-plattformen-neue-transparenzregeln    
16. DSGVO - Auskunftsrecht, Löschpflicht und Haftungsrisiken für Unternehmen
    https://www.hortmannlaw.com/articles/dsgvo-auskunftsrecht-loschpflicht-und-haftungsrisiken-fur-unternehmen        
17. DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug          
18. Datenauskunft nur mit Konzept
    https://www.hortmannlaw.com/articles/datenauskunft-nur-mit-konzept    
19. Die Rolle von Krypto-Plattformen im Zusammenhang mit der DSGVO: Datenschutzverletzungen und Haftung
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
20. Digitales Urheberrecht: Upload-Filter, NFTs und KI-generierte Inhalte
    https://www.hortmannlaw.com/articles/digitales-urheberrecht-upload-filter-nfts-und-ki-generierte-inhalte        
21. Einkommensteuer, § 23 EStG, Krypto-Gewinne, Krypto-Verluste, Haltefrist, Freigrenze, Staking, Lending, Dokumentationspflichten, Verluste durch Betrug, Hacks
    https://www.hortmannlaw.com/articles/einkommensteuer-ss-23-estg-krypto-gewinne-krypto-verluste-haltefrist-freigrenze-staking-lending-dokumentationspflichten-verluste-durch-betrug-hacks        
22. Klage gegen Crypto.com & Co: Wie Opfer von Krypto-Betrug, Bitcoin- und Love-Scam-Fällen vor Gericht Erfolg haben
    https://www.hortmannlaw.com/articles/klage-gegen-crypto-com-plattform-betrug          

‍