Love Scam und Crypto.com – Haftet die Plattform trotz AGB?

Einleitung – Wenn Vertrauen zur rechtlichen Falle wird

Love Scam über Krypto-Plattformen ist längst kein Randphänomen mehr.
Betrüger nutzen emotionale Bindungen, um Opfer zu Handlungen wie der Eingabe von One-Time-Passwords (OTP) oder der Freigabe vermeintlich harmloser Transaktionen zu bewegen.
Innerhalb weniger Minuten werden ganze Wallets geleert.

Plattformen wie Crypto.com verweisen dann auf ihre AGB, wonach jede Transaktion „unter Kontrolle des Kunden“ erfolgt sein soll.
Juristisch greift diese Verteidigung nicht.
Wie Hortmann, AnwZert ITR 19/2025 Anm. 2 darlegt, übernimmt ein Custody-Anbieter die rechtliche Verantwortung für die Sicherheit der verwahrten Assets.
Wer den technischen Signaturprozess steuert, ist Garant für Schutz, Überwachung und Missbrauchsabwehr.

Bei Love-Scam-Fällen gilt: Täuschung und OTP-Steuerung entwerten jede vermeintliche Autorisierung.
Die Eingabe des Opfers ist keine eigenständige Willenserklärung, sondern Teil einer fremdgesteuerten Vermögensverfügung – mit klaren Haftungsfolgen für die Plattform.

Zur technischen Struktur custodial Wallets siehe
👉 Custodial vs. Non-Custodial Wallets – Haftung im Vergleich

1. Täuschung, OTP-Missbrauch und Fremdverfügung (§ 263 StGB)

Nach ständiger Rechtsprechung liegt eine Täuschung i.S.d. § 263 StGB bereits vor, wenn ein Täter einen Irrtum über den Zweck einer Handlung hervorruft und das Opfer so zu einer mitwirkenden Schädigung bewegt.
Typisch ist das OTP-Phishing: Täter simulieren Handelsoberflächen oder Support-Chats, um echte OTP-Codes für betrügerische Auszahlungen zu erlangen.

Das Opfer glaubt, eine legitime Sicherheitsabfrage zu bestätigen, während die Plattform im Hintergrund Transaktionen signiert.
Damit entsteht eine Fremdverfügung über das Vermögen, keine autorisierte Handlung.
Die wirtschaftliche Verfügungsmacht liegt bei der Plattform, die den Vorgang technisch abschließt – und damit Pflichten aus § 263 StGB und § 675u BGB analog auslöst.

2. Keine Autorisierung nach § 675u BGB

§ 675u BGB schützt Zahlungspflichtige vor nicht autorisierten Transaktionen.
Übertragen auf den Krypto-Handel bedeutet das: Eine OTP-Eingabe, die auf Täuschung beruht, ist keine Autorisierung.

Die Oberlandesgerichte Dresden (8 U 1482/24) und Brandenburg (4 U 32/24) haben entschieden, dass keine wirksame Zustimmung vorliegt, wenn der Nutzer durch Betrug zur Code-Eingabe bewegt wird.
Plattformen müssen bei auffälligen Mustern – mehrfachen OTP-Anfragen, neuen Empfängern, ungewöhnlichen Beträgen – eingreifen.

Unterbleibt dies, liegt eine Pflichtverletzung der Transaktionsprüfung nach § 675u BGB analog i.V.m. § 280 BGB vor.
Zur Aufsichtspflicht digitaler Finanzdienstleister siehe
👉 Krypto Betrug: Finanzaufsicht und Haftung
und
👉 Krypto Betrug: Rückbuchung nach Krypto-Transfer

3. Unwirksamkeit der AGB-Klausel (§ 307 BGB)

Crypto.com beruft sich auf Klauseln, nach denen Nutzer auch bei unautorisierten Zugriffen allein verantwortlich seien.
Solche Haftungsausschlüsse sind nach deutschem Recht unwirksam.

§ 307 BGB erklärt AGB für nichtig, wenn sie Kunden unangemessen benachteiligen oder wesentliche Vertragspflichten aushöhlen.
Ein Ausschluss der Haftung trotz eigener Signatur und bekannter Scam-Hinweise ist unzulässig.
Auch § 309 Nr. 7 BGB verbietet den Ausschluss grober Fahrlässigkeit.

Plattformen dürfen bekannte Scam-Risiken nicht auf Nutzer abwälzen, wenn sie den technischen Prozess vollständig kontrollieren.
Damit bleiben vertragliche und deliktische Pflichten bestehen – eine Haftungsfreiheit über AGB ist ausgeschlossen.

Vertiefung:
👉 AGB im Krypto-Handel – Verantwortung der Plattformen und Grenzen der Haftung

‍

4. Pflichtverletzung nach Art. 32 DSGVO

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“ (TOMs) zum Schutz personenbezogener Daten.
Bei Krypto-Plattformen betrifft das insbesondere Login-Verfahren, OTP-Autorisierungen und Transaktionsüberwachung.

Wenn Scam-Indikatoren erkannt, aber nicht bearbeitet werden, liegt eine Verletzung von Art. 32 und Art. 5 Abs. 1 lit. f DSGVO vor.
Der Verantwortliche haftet auf Schadensersatz nach Art. 82 DSGVO, wenn er trotz bekannter Risiken keine Sicherheitsmaßnahmen ergreift.

Zur Parallele zwischen Datenschutz und Geldwäscheaufsicht siehe
👉 DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff

5. Pflichten nach GwG und § 261 StGB

Als „obliged entity“ nach § 2 GwG muss eine Plattform Kundenbeziehungen überwachen und Verdachtsmeldungen abgeben.
§ 43 GwG fordert eine Meldung an die FIU, § 46 GwG ermöglicht die Verzögerung verdächtiger Transaktionen.
Unterbleibt dies, liegt eine Pflichtverletzung und möglicherweise leichtfertige Geldwäsche nach § 261 Abs. 6 StGB vor.

Das BGH-Urteil StV 2023, 742 Rn. 26 ff. definiert Leichtfertigkeit als bewusstes Ignorieren offenkundiger Risiken.
Im Love-Scam-Kontext besteht die Pflicht, auffällige Verhaltensmuster – z. B. plötzliche Großtransfers oder neue Wallet-Adressen – zu erkennen und zu melden.

Mehr dazu in 👉 Krypto Betrug: Internationale Geldwäscheketten
und 👉 Schwarze Liste betrügerischer Plattformen – Update Oktober 2025

6. EU-Verbraucherschutz bei digitalen Diensten (RL 2019/770 EU)

Nach Art. 5 Abs. 1 der Richtlinie (EU) 2019/770 müssen digitale Dienste „frei von Mängeln“ und „für den vereinbarten Zweck geeignet“ sein.
Ein System, das Nutzer täuschungsanfälligen OTP-Mechanismen aussetzt, verstößt gegen diese Pflicht.
Der EuGH (C-208/21) betont, dass Haftungsbeschränkungen unwirksam sind, wenn sie Sicherheits- oder Funktionspflichten einschränken.
Auch aus EU-Verbraucherrecht ergibt sich somit eine Pflicht zur präventiven Sicherheitsarchitektur.

ü

Fazit – Keine Haftungsfreiheit bei Täuschung

Love-Scam-Fälle zeigen, dass Krypto-Plattformen nicht nur technische, sondern rechtliche Mitverantwortung tragen.
Täuschung hebt jede Autorisierung auf; eine OTP-Eingabe ersetzt keine Einwilligung.
Wer custodial Wallets betreibt, trägt Kontroll- und Präventionspflichten.

Die Missachtung von Scam-Warnungen, Meldepflichten und Sicherheitsstandards verletzt § 675u BGB analog, § 307 BGB, Art. 32 DSGVO und §§ 43, 46 GwG.
Wie Hortmann, AnwZert ITR 19/2025 Anm. 2 resümiert:

„Plattformen, die technische Signatur- und Kontrollmechanismen besitzen, tragen eine unmittelbare Verantwortung für deren Missbrauch – auch bei Täuschung des Kunden.“

Kostenlose Ersteinschätzung unter 📞 0160 9955 5525 oder über das Kontaktformular.

🔗 Weiterführende Beiträge

• Custodial vs. Non-Custodial Wallets – Haftung im Vergleich
• Krypto Betrug: Finanzaufsicht und Haftung
• DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff
• Krypto Betrug: Internationale Geldwäscheketten
• Schwarze Liste betrügerischer Plattformen – Update Oktober 2025
• Haftung der Bank bei Online-Betrug – Ihre Rechte und Ansprüche

‍