DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff
Verfasst von
Max Hortmann
04 Nov 2025
•
Lesezeit:
Diesen Beitrag teilen
DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff
Einleitung – Datenschutz als Sicherheitsversprechen
Die Datenschutz-Grundverordnung (DSGVO) ist mehr als ein Verbraucherschutzgesetz – sie ist ein Sicherheitsversprechen im digitalen Raum. Wer personenbezogene Daten verarbeitet, muss dafür sorgen, dass technische und organisatorische Maßnahmen (TOMs) einen Missbrauch verhindern. Gerade bei Krypto-Plattformen umfasst das weit mehr als Passwortschutz: Transaktionsdaten, Wallet-IDs, OTP-Protokolle und Device-Fingerprints sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.
Wenn solche Daten in betrügerische Hände geraten oder interne Warnsignale unbeachtet bleiben, ist der Schutzauftrag verletzt. Wie Hortmann, AnwZert ITR 19/2025 Anm. 2 hervorhebt, entsteht daraus eine eigenständige Haftung: Die DSGVO verpflichtet Plattformen zu aktiver Betrugsprävention, lückenloser Dokumentation und transparenter Auskunft – insbesondere, wenn interne Risk-Flags bereits auf Scam-Aktivitäten hinweisen.
1. Sicherheitsversagen nach Art. 5 Abs. 1 lit. f DSGVO
Art. 5 Abs. 1 lit. f DSGVO verpflichtet Datenverarbeiter, personenbezogene Daten so zu verarbeiten, dass eine angemessene Sicherheit gewährleistet ist. Dazu zählen der Schutz vor unbefugtem Zugriff, Missbrauch von Authentifizierungscodes und das Monitoring verdächtiger Aktivitäten.
Wird ein Risiko erkannt, ohne dass Maßnahmen ergriffen werden, liegt eine Verletzung des Grundsatzes der Integrität und Vertraulichkeit vor. Fehlende Sperrlogik, unzureichende Risikoeskalation oder Nichtreaktion auf Scam-Flags gelten nach BeckOK DSGVO Art. 5 Rn. 32 f. als klare Pflichtverletzung.
Das LG Stuttgart (54 O 8/23) stellte klar, dass organisatorische Nachlässigkeit – etwa das Ignorieren automatischer Sicherheitsmeldungen – bereits einen Verstoß gegen Art. 5 Abs. 1 lit. f begründet. Ein Anbieter haftet daher nicht erst bei Datenabfluss, sondern schon bei unterlassenem Handeln gegen bekannte Risiken.
2. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“ (TOMs), die dem jeweiligen Risiko entsprechen. Für Krypto-Dienstleister zählen dazu:
OTP-Missbrauchserkennung,
Echtzeit-Freeze-Mechanismen,
Device-Authentifizierung,
und Delay-Funktionen für verdächtige Transfers.
Wenn diese Systeme existieren, aber nicht aktiviert oder überwacht werden, liegt eine Pflichtverletzung nach Art. 32 DSGVO vor. Wie Gola, Art. 32 Rn. 27 ff. und Paal/Pauly, Art. 82 Rn. 30 betonen, müssen TOMs fortlaufend an die Risikolage angepasst werden.
Die unterlassene Aktivierung solcher Sicherheitsfunktionen begründet eine Verletzung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und – im Fall von Krypto-Plattformen – zugleich eine Pflichtverletzung nach § 25h KWG.
Ein ähnlicher Fall wurde in der Entscheidung OLG Dresden 8 U 1482/24 bewertet: Selbst vermeintlich autorisierte Transaktionen gelten als unzulässig, wenn Sicherheitsmechanismen versagen oder umgangen werden.
3. Dokumentations- und Auskunftspflichten (Art. 15 und 30 DSGVO)
Die DSGVO verpflichtet Plattformen zu vollständiger Transparenz: Art. 30 DSGVO fordert interne Verzeichnisse über Datenverarbeitung und Sicherheitsmaßnahmen; Art. 15 DSGVO garantiert Betroffenen einen umfassenden Auskunftsanspruch.
Dieser Anspruch umfasst nicht nur Stammdaten, sondern auch technische Logfiles, interne AML-Bewertungen und Scam-Flags – also alle Daten, die eine Person identifizieren können. Wird diese Auskunft verweigert oder unvollständig erteilt, liegt ein Datenschutzverstoß vor.
Das LG München I (25 O 9210/24) und der BGH (VI ZR 53/23) bestätigten, dass selbst die Nichtbeantwortung eines Auskunftsersuchens Schadensersatz nach Art. 82 DSGVO auslösen kann. Fehlt zudem eine korrekte Dokumentation, ist die Plattform gegenüber Aufsichtsbehörden und Betroffenen nicht exkulpierbar.
4. Kontrollverlust als immaterieller Schaden (Art. 82 DSGVO)
Art. 82 DSGVO gewährt Schadensersatz für materielle und immaterielle Schäden – insbesondere für den Kontrollverlust über personenbezogene Daten. Das OLG Stuttgart (4 U 20/23) stellte klar, dass bereits psychische Belastungen oder der Verlust der Datensouveränität für einen immateriellen Anspruch genügen.
Im Kontext von Krypto-Plattformen liegt der Kontrollverlust doppelt vor: erstens über Vermögenswerte, zweitens über personenbezogene Transaktionsdaten, die trotz Anfrage nicht offengelegt wurden.
Da der Verantwortliche nach Paal/Pauly Art. 82 Rn. 30 die Beweislast für fehlendes Verschulden trägt, führt mangelnde Reaktion oder unvollständige Dokumentation regelmäßig zur Haftung. Ein Schadensersatzanspruch nach Art. 82 i.V.m. Erwägungsgrund 146 DSGVO ist dann naheliegend.
5. Datenschutz und Geldwäscheaufsicht – die doppelte Pflichtverletzung
Datenschutz- und Geldwäschepflichten überschneiden sich: Nach §§ 10, 43 und 46 GwG müssen Plattformen Transaktionen überwachen, verdächtige Muster melden und Auszahlungen stoppen, wenn Betrugsverdacht besteht. Unterbleibt dies, liegt nicht nur ein Verstoß gegen das GwG, sondern zugleich gegen Art. 32 DSGVO vor.
Das Ignorieren interner Scam-Indikatoren ist somit eine Doppelverletzung: eine aufsichtsrechtliche Pflichtverletzung (§ 25h KWG) und eine datenschutzrechtliche (Art. 32 DSGVO). Nach BGH StV 2023, 742 Rn. 26 ff. handelt leichtfertig, wer offensichtliche Risiken erkennt, aber untätig bleibt – ein typischer Fall digitaler Leichtfertigkeit.
Krypto-Plattformen unterliegen der DSGVO, auch wenn sie außerhalb der EU ansässig sind. Fehlende Sicherheitsmechanismen, unvollständige Dokumentation und verweigerte Datenauskünfte können nicht nur Bußgelder, sondern auch Schadensersatzansprüche nach Art. 82 DSGVO begründen. Hinzu kommen aufsichtsrechtliche Verstöße nach dem GwG und strafrechtliche Risiken nach § 261 StGB, wenn mangelnde Datensicherheit Geldwäsche begünstigt.
Die Verknüpfung von Datenschutz und Finanzaufsicht schafft eine neue juristische Schnittstelle im Krypto-Recht – sie zeigt: Die Verletzung digitaler Sorgfaltspflichten hat nicht nur technische, sondern zivil-, aufsichts- und strafrechtliche Konsequenzen.
📞 Kontakt
Wurde Ihr Datenauskunftsantrag ignoriert oder haben Sie Anzeichen für Verstöße gegen Datenschutz- oder AML-Pflichten? Wir prüfen Ihre Ansprüche nach Art. 15 und Art. 82 DSGVO, setzen Auskunft und Schadensersatz durch und begleiten Ihre Beschwerde bei den Aufsichtsbehörden.
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
Bank- und Plattformhaftung
Krypto Betrug
11/4/2025
November 4, 2025
Krypto Betrug: Crypto.com wusste Bescheid – Pflichtverletzung bei Scam-Flags und Untätigkeit
Crypto.com ignorierte Scam-Flags – juristische Bewertung von Untätigkeit und Geldwäschepflichten.
.jpg)
