Knowledge Hub
No items found.

Plattforminformierter Betrug und Intermediärverantwortung – Haftung von Plattformen bei Datenlecks und Folgeschäden (AnwZert ITR 4/2026 Anm. 3)

Verfasst von
Lesezeit:
Diesen Beitrag teilen
Max Hortmann
Rechtsanwalt, Hortmann Law
Juristische Expertise
  • Cybercrime & Krypto-Betrug
  • AI & Zukunftsrecht
  • Steuerrecht & Steuerstrafrecht
  • Gesellschaftsrecht, Immobilienrecht & Zivilrecht
  • Datenschutz & Digitalrecht
Kontakt
Wir melden uns in der Regel innerhalb von 24 Stunden.

Einleitung

Plattformen sind heute nicht nur Kommunikations- und Transaktionsräume, sondern zugleich Dateninfrastrukturen. Genau darin liegt das Problem: Wenn dort Daten abfließen, abgeschöpft oder unzureichend geschützt werden, bleibt der Schaden oft nicht auf einen bloßen Datenschutzverstoß beschränkt. Vielmehr entstehen nachgelagerte Risiken wie Identitätsmissbrauch, Social Engineering, nicht autorisierte Zahlungsvorgänge oder andere Vermögensschäden.

Der Beitrag untersucht diese Konstellation als plattforminformierten Betrug. Gemeint sind Fälle, in denen Täter plattformspezifisches Wissen – etwa aus Datenlecks, Scraping oder zu weitgehenden Voreinstellungen – nutzen, um Angriffe glaubwürdiger, zielgerichteter und wirtschaftlich wirksamer zu machen. Gerade das Zusammenspiel aus Plattformdesign, Sicherheitsarchitektur und nachgelagerten Intermediären verschiebt die klassische Täter-Opfer-Perspektive hin zu Fragen der Intermediärverantwortung.

Im Zentrum steht deshalb die Frage, wann Plattformen selbst rechtlich in die Verantwortung geraten: als datenschutzrechtlich Verantwortliche für Sicherheitsmaßnahmen und Default-Einstellungen, als gegebenenfalls sektorregulierte Finanz- oder Kryptointermediäre und als Adressaten allgemeiner Organisations- und Verkehrssicherungspflichten. Der Beitrag zeigt, wie sich Haftung für Datenlecks und Folgeschäden dogmatisch begründen und prozessual aufbauen lässt.

Fundstelle

Erschienen als: AnwZert ITR 4/2026 Anm. 3.

Worum es in dem Beitrag geht

Analysiert werden insbesondere:

  • die Rolle von Art. 25, 32 und 82 DSGVO bei Datenlecks und Folgeschäden,
  • die haftungsrechtliche Bedeutung von Voreinstellungen, technischen und organisatorischen Maßnahmen,
  • die sekundäre Darlegungslast und die Substantiierung interner Sicherheitsarchitekturen,
  • die Kausalität zwischen Primärverstoß und nachgelagertem Vermögensschaden,
  • sowie die Verdichtung des Sorgfaltsmaßstabs durch DORA und MiCA.

Damit richtet sich der Beitrag an Leser, die Plattformhaftung nicht isoliert als Datenschutzproblem, sondern als Schnittstelle von Digitalrecht, Deliktsrecht, Zahlungsverkehr und Intermediärverantwortung verstehen wollen.

Plattforminformierter Betrug und Intermediärverantwortung: Haftung von Plattformen für Datenlecks und Folgeschäden im Lichte von DSGVO, Organisationspflichten und sektoraler Digitalregulierung

von Max Hortmann, Rechtsanwalt

A. Einleitung

Plattformen sind nicht nur Kommunikations- und Transaktionsräume, sondern zugleich Dateninfrastrukturen: Sie erzeugen, bündeln und verarbeiten personenbezogene Daten in großem Umfang. Damit entstehen Angriffsflächen, bei denen ein Datenabfluss (Datenleck, Scraping, unbefugter Zugriff) als Primärereignis wirkt und nachgelagerte Vermögensdelikte – etwa Identitätsmissbrauch, Social Engineering oder nicht autorisierte Zahlungsvorgänge – erst ermöglicht.

Diese Konstellation lässt sich als plattforminformierter Betrug beschreiben: Täter nutzen informationsseitige Vorteile, die aus der Plattform selbst stammen (z.B. durch Datenabfluss oder zu weite Voreinstellungen), um Angriffe zielgerichtet, glaubwürdig und skalierbar zu machen. Gerade das Zusammenspiel aus (i) Plattformdesign, (ii) Sicherheitsarchitektur und (iii) nachgelagerten Intermediärkaskaden (Zahlungsdienstleister, Kryptoverwahrer, Cloud-Dienstleister) verschiebt die klassische Täter-Opfer-Dogmatik hin zu Fragen der Intermediärverantwortung.

In einem vorangegangenen Beitrag wurde die anwaltliche Durchsetzungsperspektive bereits entlang des datenschutzrechtlichen Datenzugangs (Art. 15 DSGVO) strukturiert: Auskunft als Hebel zur Täteridentifikation und zur Vorbereitung von Ansprüchen, insbesondere nach Art. 82 DSGVO.^1 Der vorliegende Beitrag verschiebt den Fokus: Nicht der Datenzugang, sondern die Verantwortung der Plattform als Intermediär – und zwar (i) als datenschutzrechtlich Verantwortlicher für Sicherheitsarchitektur und Voreinstellungen, (ii) als (ggf. sektorreguliertes) Finanz- oder Kryptointermediärunternehmen sowie (iii) als Adressat allgemeiner Organisations- und Verkehrssicherungspflichten.

B. Die Rechtslage

I. Objektive Darstellung der Rechtslage

1. Begriff und Tatbild: Plattforminformierter Betrug

Plattforminformierter Betrug zeichnet sich dadurch aus, dass die Täuschung nicht „blind“ erfolgt (Massen-Phishing), sondern mit plattformspezifischem Wissen angereichert wird. Dieses Wissen kann aus einem Datenabfluss stammen (z.B. E-Mail-Adresse + Telefonnummer + Transaktions-/Profilinformationen) oder aus überweiten Default-Einstellungen (z.B. globale Suchbarkeit) resultieren. Plattformen geraten damit in eine doppelte Rolle: Sie sind Datenquelle und – bei Transaktionsplattformen – zugleich Vollzugsraum für Vermögensabflüsse.

Rechtlich relevant ist daran weniger die kriminologische Typologie als die Zurechnung: Das Datenleck wird zum haftungsbegründenden Ereignis, der nachgelagerte Betrug zum haftungsausfüllenden Folgeschaden. Für die Anspruchsbegründung ist deshalb eine saubere Stufung (Primärverstoß -> Kausalität -> Schaden) zentral.

2. Datenschutzrechtlicher Primärrahmen: Art. 25, 32 und 82 DSGVO

Die Haftungsdiskussion bei Datenlecks auf Plattformen wird zunächst durch die DSGVO determiniert. Zentral ist Art. 32 DSGVO als normierter Sicherheitsmaßstab („angemessenes Schutzniveau“) und Art. 25 DSGVO (Privacy by Design/Default) als Pflicht zur datenschutzfreundlichen Voreinstellung.

a) Art. 25 DSGVO: Voreinstellungen als Risikotreiber

Voreinstellungen sozialer und transaktionaler Plattformen sind haftungsrechtlich nicht neutral, sondern können das Risiko eines Datenabflusses (etwa durch Scraping) qualitativ erhöhen. So wird betont, dass Voreinstellungen datenschutzfreundlich so zu gestalten sind, dass standardmäßig nur die für den Zweck erforderliche Verarbeitung erfolgt; eine Suchbarkeitsvoreinstellung „alle“ ist damit nicht vereinbar.^2 Ergänzend wird herausgearbeitet, dass eine Voreinstellung, die personenbezogene Daten ohne aktives Zutun der betroffenen Person einer unbestimmten Zahl von Personen zugänglich macht, gegen Art. 25 Abs. 2 DSGVO verstößt.^3

b) Art. 32 DSGVO: Strukturierte Angemessenheitsprüfung und Stand der Technik

Die Angemessenheitsprüfung nach Art. 32 DSGVO ist methodisch zu strukturieren (Schutzniveau -> Verarbeitungsvorgang -> Risikoanalyse -> Maßnahmeneignung).^4 Der Sicherheitsmaßstab ist dynamisch und einzelfallbezogen; pauschale Vorgaben verbieten sich.^5 Der „Stand der Technik“ ist dabei als objektiv-technischer und gerichtlich überprüfbarer Maßstab zu verstehen; seine Ermittlung sollte dokumentiert werden.^6

Art. 32 DSGVO ist als objektive Rechtspflicht nicht disponibel: Weder Einwilligung noch vertragliche Gestaltungen können das erforderliche Sicherheitsniveau „abbedingen“.^7 Die Einwilligung betrifft die Rechtmäßigkeit der Verarbeitung (das „Ob“), nicht aber das Sicherheitsniveau (das „Wie“).^8 Die betriebliche Datenschutzdokumentation dient ausdrücklich auch der Führung des Entlastungsbeweises nach Art. 82 Abs. 3 DSGVO.^9 Eine zu generische oder lediglich schlagwortartige Darstellung technisch-organisatorischer Maßnahmen genügt der Rechenschaftspflicht nicht; die Dokumentation muss eine gerichtliche Überprüfung der Angemessenheit ermöglichen.^10 Wird Verarbeitung an einen Cloud-Anbieter ausgelagert, muss der Verantwortliche vor Vertragsschluss die dort implementierten TOM prüfen und dokumentieren.^11

c) Art. 82 DSGVO: Voraussetzungen und Schutzbereich

Art. 82 DSGVO eröffnet Schadensersatz für materielle und immaterielle Schäden. Der Anspruch setzt kumulativ DSGVO-Verstoß, Schaden und Kausalität voraus.^12 Der Schutzbereich des Art. 82 erfasst auch Verstöße gegen Art. 25 DSGVO und Art. 32 DSGVO; schon nach dem Wortlaut genügt „ein Verstoß gegen diese Verordnung“.^13 Für den Anwendungsbereich ist unerheblich, ob ein „Hacking“ im engeren Sinne vorliegt; maßgeblich ist allein, ob ein DSGVO-Verstoß gegeben ist.^14

3. Darlegungs- und Beweislast: Rechenschaft, sekundäre Darlegungslast und Exkulpation

Typisch für Datenleck-Konstellationen ist eine Informationsasymmetrie: Betroffene können den internen Verarbeitungsvorgang und die Sicherheitsmaßnahmen nicht kennen. In der Konsequenz obliegt es dem Verantwortlichen darzulegen und zu beweisen, dass die getroffenen Maßnahmen i.S.d. Art. 32 DSGVO geeignet waren (Rechenschaftspflicht).^15 Der Verantwortliche hat damit regelmäßig substanziiert zu erläutern, welche Sicherheitsarchitektur (Prozesse, Zuständigkeiten, Kontrollen) implementiert war.^16

Auf prozessualer Ebene greift zusätzlich die sekundäre Darlegungslast. Bereits der Datenabfluss kann eine sekundäre Darlegungslast hinsichtlich der internen Sicherheitsarchitektur auslösen.^17 Gerichtlich ist anerkannt, dass den Verantwortlichen eine sekundäre Darlegungslast treffen kann, welcher konkrete Verarbeitungsvorgang zur Datenveröffentlichung geführt hat.^18

Die Exkulpation nach Art. 82 Abs. 3 DSGVO ist streng: Ein bloßer Verweis auf Fehlverhalten Dritter oder interner Personen genügt nicht.^19 Entlastung kommt nur in Betracht, wenn der Verantwortliche nachweist, dass kein Kausalzusammenhang zwischen Pflichtverletzung und Schaden besteht.^20 Dogmatisch wird zudem betont, dass sich der Verantwortliche nur entlasten kann, wenn er nachweist, in keinerlei Hinsicht für den schadensauslösenden Umstand verantwortlich zu sein; vertragliche Haftungsausschlüsse sind insoweit ausgeschlossen.^21

4. Schadensdimension: Kontrollverlust, Missbrauchsrisiko und Vermögensfolgen

Auf immaterieller Ebene wird die Frage diskutiert, ob bereits der (auch kurzzeitige) Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen Schaden begründet.^22 Teilweise wird demgegenüber verlangt, dass eine aus dem Kontrollverlust abgeleitete Missbrauchsbefürchtung glaubhaft gemacht wird.^23 Eine Erheblichkeitsschwelle besteht zwar nicht; gleichwohl bleibt der Nachweis eines konkreten Schadens erforderlich.^24 Für die haftungsausfüllende Kausalität und die Schadenshöhe findet § 287 ZPO Anwendung; es genügt überwiegende Wahrscheinlichkeit.^25

Materielle Schäden entstehen häufig dadurch, dass abgeflossene Daten zum Missbrauch von Zahlungsinformationen genutzt werden. Der Missbrauch gestohlener Zahlungsdaten wird als typischer ersatzfähiger materieller Schaden eingeordnet.^26 Kausalitätsdogmatisch wird der Datenmissbrauch nicht als atypischer Verlauf qualifiziert; er entspricht vielmehr regelmäßig dem primären Ziel der Cyberattacke.^27

5. Deliktische und organisationsrechtliche Anknüpfungen

Neben Art. 82 DSGVO kommen deliktische Anspruchsgrundlagen in Betracht, insbesondere bei Verletzung eigenständiger Organisationspflichten. Betreiber digitaler Systeme unterliegen einer Organisationspflicht zur Gewährleistung technischer Sicherheit; deren Verletzung kann deliktische Haftung auslösen.^28

Organisationsverschulden liegt etwa vor, wenn keine ausreichenden internen Kontroll- und Sicherungssysteme unterhalten werden.^29 Die Pflicht zur ordnungsgemäßen Organisation begründet eine eigenständige deliktische Verantwortlichkeit der juristischen Person.^30 Die Übertragung von Verkehrssicherungspflichten auf Dritte entlastet nicht vollständig; der Übertragende bleibt zur Überwachung verpflichtet.^31

6. Sektorale Konkretisierung: DORA und MiCA als Sicherheitsmaßstabs-Beschleuniger

Für (Krypto-)Finanzplattformen wirken sektorale Regime als Konkretisierung und Verdichtung des Sorgfaltsmaßstabs. DORA verpflichtet zur Implementierung eines strukturierten IKT-Risikomanagementrahmens mit klarer Governance-Struktur und Kontrollmechanismen.^32 Art. 12 Abs. 4 DORA verlangt redundante IKT-Kapazitäten, um geschäftskritische Funktionen auch bei Störungen aufrechtzuerhalten.^33 Die regulatorischen Anforderungen an digitale Resilienz konkretisieren zugleich zivilrechtliche Organisationspflichten.^34

Für Kryptowerte-Dienstleister normiert MiCA Governance- und Risikomanagementpflichten sowie konkrete Anforderungen an die Sicherung von Kundeneigentum und IKT-Sicherheit.^35 Zentral sind solide organisatorische Strukturen (Art. 63 Abs. 1 MiCA),^36 ein angemessenes Risikomanagement (Art. 63 Abs. 2 MiCA),^37 Maßnahmen zum Schutz vor Verlust, Diebstahl, Missbrauch oder unbefugtem Zugriff (Art. 65 Abs. 2 MiCA)^38 sowie Systeme zur Gewährleistung von Sicherheit, Integrität und Verfügbarkeit der IKT-Systeme (Art. 67 MiCA).^39 ErwGr. 78 betont, dass robuste IT-Systeme erforderlich sind, die gegen Cyberangriffe widerstandsfähig sind und Vermögenswerte wirksam schützen.^40

7. Intermediärketten im Betrug: zahlungsdiensterechtliche Parallelprobleme

Plattforminformierter Betrug mündet häufig in nicht autorisierte Zahlungsvorgänge. Zahlungsdiensterechtlich bilden die §§ 675u und 675v BGB eine Einheit aus Anspruch und Gegenanspruch; das Risiko nicht autorisierter Zahlungen liegt grundsätzlich beim Zahlungsdienstleister.^41 Rechtsscheingrundsätze – insbesondere die Anscheinsvollmacht – dürfen diese Risikoverteilung nicht unterlaufen.^42 Für grobe Fahrlässigkeit besteht kein Anscheinsbeweis; die Darlegungs- und Beweislast trägt der Zahlungsdienstleister.^43 Eine generelle Pflicht zur permanenten Echtzeitüberwachung sämtlicher Transaktionen besteht nicht; maßgeblich sind konkrete atypische Verdachtsmomente.^44 Bei Weitergabe einer TAN an Dritte wird regelmäßig grobe Fahrlässigkeit angenommen, insbesondere wenn konkrete Zahlungsdaten angezeigt werden und nicht überprüft werden.^45

Dogmatisch zentral ist die Trennung von Authentifizierung und Autorisierung: Die bloße Nutzung von PIN/TAN begründet keine unwiderlegliche Vermutung der Autorisierung.^46 Zustimmung i.S.d. § 675j BGB muss tatsächlich vom Zahler stammen; eine Zurechnung nach Rechtsschein scheidet aus.^47 Zudem greift § 675v Abs. 4 BGB nur transaktionsbezogen, also nur dann, wenn für den konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde.^48

II. Rechtliche Würdigung

1. Plattforminformierter Betrug als Zurechnungsproblem in Ketten

Plattforminformierter Betrug ist haftungsrechtlich weniger als Einzelereignis, sondern als Kette zu modellieren:

  1. Primärereignis: Datenabfluss durch Sicherheits- oder Voreinstellungsdefizite (Art. 25, 32 DSGVO; Organisationspflichtverletzung).
  2. Sekundärereignis: Wissensbasierte Täuschung (zielgenaues Social Engineering) unter Ausnutzung der erlangten Daten.
  3. Tertiärereignis: Vermögensschaden (z.B. nicht autorisierte Zahlung, Kryptoabfluss, Identitätsmissbrauch).

Die juristische Kernfrage lautet: Wird der Vermögensschaden dem Plattformbetreiber zugerechnet – und, wenn ja, über welche Anspruchsgrundlage (Art. 82 DSGVO, § 823 Abs. 1, 2 BGB, § 826 BGB)?

2. Art. 25, 32 DSGVO als haftungsdogmatische Schlüsselnormen

Für Plattformen wird Art. 32 DSGVO in Datenleckfällen faktisch zum organisationsrechtlichen Sicherheitsstandard: Er zwingt zur technischen Absicherung und zur Governance-Architektur (Zuständigkeiten, Kontrollen, Incident-Response). Die Unzulässigkeit datenschutzfeindlicher Default-Einstellungen (Art. 25 DSGVO) zeigt zudem, dass Plattformdesign selbst haftungsbegründend werden kann.^49 Damit ist plattforminformierter Betrug häufig nicht nur „Folge fremder Kriminalität“, sondern Ausdruck einer durch Default-Entscheidungen oder TOM-Defizite eröffneten Risikostruktur.

3. Substanziierung und gerichtliche Kontrolle der TOM

In der prozessualen Praxis entscheidet sich die Haftungsfrage selten an abstrakten Begriffen wie „Stand der Technik“, sondern an der Substanziierung. Das Gericht muss die konkrete Eignung der Maßnahmen materiell prüfen können; schlagwortartige Benennungen („Bot-Erkennung“) genügen nicht.^50 Die Plattform muss daher regelmäßig offenlegen (oder jedenfalls gerichtsfest dokumentieren), wie sie Risiken identifiziert, wie Zugriffskontrollen ausgestaltet sind, welche Detektions- und Reaktionsprozesse existieren und wie Wirksamkeit überprüft wird.^51

4. Prozessuale Durchsetzung: sekundäre Darlegungslast als „Informationsöffner“

Die sekundäre Darlegungslast ist in Datenleckfällen das Scharnier, um die strukturelle Informationsasymmetrie zu überwinden. Steht der Anspruchsteller außerhalb des internen Geschehensablaufs, kann die in Anspruch genommene juristische Person eine sekundäre Darlegungslast hinsichtlich interner Entscheidungs- und Kenntnisstrukturen treffen.^52 Das gilt in besonderer Weise bei Datenlecks: Hat die betroffene Person keine Einblicke in interne Verarbeitungsvorgänge, kann den Verantwortlichen eine sekundäre Darlegungslast treffen, welcher konkrete Verarbeitungsvorgang zur Datenveröffentlichung geführt hat.^53 Bereits der Datenabfluss begründet zudem eine sekundäre Darlegungslast hinsichtlich der internen Sicherheitsarchitektur.^54

5. Kausalität und Dazwischentreten Dritter

Plattformen wenden häufig ein, dass der Schaden durch einen externen Täter verursacht wurde. Kausalitätsdogmatisch ist dieser Einwand nicht zwingend: Der Missbrauch gestohlener Daten ist kein atypischer Verlauf, sondern regelmäßig das primäre Ziel einer Cyberattacke; ein eigenständiges Dazwischentreten Dritter unterbricht den Zusammenhang typischerweise nicht.^55 Die Exkulpation nach Art. 82 Abs. 3 DSGVO gelingt nicht durch bloße Täterbenennung, sondern nur bei fehlendem Kausalzusammenhang; der Verantwortliche kann sich nicht allein durch Verweis auf Fehlverhalten Dritter entlasten.^56

6. Schaden: Darlegung, Bemessung und Argumentationslinien

Bei immateriellen Schäden sollte in der Anspruchsbegründung sauber zwischen (i) Kontrollverlust und (ii) daraus resultierenden Belastungen (Missbrauchsangst, Zeit- und Aufwand zur Abwehr, Einschränkungen der digitalen Selbstbestimmung) unterschieden werden. Je nach Linie kann bereits der Kontrollverlust genügen.^57 Andere Gerichte verlangen eine glaubhaft gemachte Missbrauchsbefürchtung.^58 Bei der Schadensbemessung kann § 287 ZPO herangezogen werden; überwiegende Wahrscheinlichkeit genügt.^59 Zugleich bleibt – ohne Erheblichkeitsschwelle – ein konkreter Schaden darzulegen.^60

7. Mitverschulden in der Intermediärkette

In Konstellationen mit nicht autorisierten Zahlungen stellt sich regelmäßig die Frage, ob dem Betroffenen ein Mitverschulden – etwa durch Preisgabe von Authentifizierungsmerkmalen – entgegengehalten wird. Zahlungsdiensterechtlich ist zunächst festzuhalten: Für grobe Fahrlässigkeit besteht kein Anscheinsbeweis; der Zahlungsdienstleister trägt die Beweislast.^61 Deliktsrechtlich bleibt der Einwand des Mitverschuldens selbst gegenüber einem vorsätzlich handelnden Schädiger nicht schlechthin ausgeschlossen; eine Schadensteilung kann geboten sein.^62 Für plattforminformierte Betrugsfälle ist dies doppelt relevant: Einerseits kann besonders sorgfaltswidriges Nutzerverhalten anspruchsmindernd wirken; andererseits ist zu berücksichtigen, dass die Täuschung oft gerade durch plattformseitig abgeflossene Informationen plausibilisiert wird, was die Zurechnung zulasten der Plattform verstärken kann.

8. Schutzgutseite und Vermögensbezug bei Kryptoplattformen

Im Kryptokontext ist die Schutzgutseite zu klären. Digitale Vermögenswerte sind vermögensrechtlich geschützt und können deliktisch als sonstiges Recht i.S.d. § 823 Abs. 1 BGB eingeordnet werden.^63 Strafrechtlich wird bestätigt, dass Kryptowährungen vollwertige Vermögensvorteile sind.^64 Damit lässt sich die Plattformhaftung bei Datenlecks in Kryptokonstellationen auch vermögensrechtlich unterbauen – zumal MiCA/DORA die Verwahrung und IKT-Sicherheit als Kernpflichten der Governance ausgestalten.^65

C. Auswirkungen für die Praxis

I. Anspruchsarchitektur: Datenleck zuerst – dann Folgeschäden anbinden

Für die anwaltliche Praxis empfiehlt sich eine mehrstufige Anspruchsarchitektur:

  • Stufe 1 (Primär): Feststellung und Begründung des DSGVO-Verstoßes (Art. 25, 32) einschließlich Darlegungslast/Beweislast (Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO) und Substantiierung der TOM.^66
  • Stufe 2 (Sekundär): Schadensbild differenzieren (materiell/immateriell) und Kausalität auf typischen Datenmissbrauch stützen.^67
  • Stufe 3 (Intermediärketten): Falls Zahlungen betroffen sind, Zahlungsdiensterecht strikt von der Datenschutzebene trennen und Autorisierung/Authentifizierung sauber auseinanderhalten.^68

Als Informationsgrundlage bleibt dabei der datenschutzrechtliche Auskunftsanspruch (Art. 15 DSGVO) praktisch bedeutsam, um die interne Datenverarbeitung, Empfängerkreise und Transaktionsbezüge zu klären – gerade, weil Täter häufig anonym bleiben.^69

II. Prozesstaktik: Darlegungslast in der Sicherheitsarchitektur verankern

Praktisch entscheidend ist, dass die Plattform nicht mit abstrakten Sicherheitsfloskeln durchdringt. Das Gericht muss die Eignung der Maßnahmen materiell prüfen können; bloße Schlagworte genügen nicht.^70 Zugleich sollte die Anspruchsbegründung die Indizien einer Plattformdaten-Nutzung herausarbeiten (z.B. im Betrugsanruf zutreffende Kenntnis von Profil-/Transaktionsdetails). Dadurch wird die sekundäre Darlegungslast operationalisiert.^71

III. Compliance-Rückspiegel: Dokumentations- und Governance-Pflichten

Für Plattformbetreiber ergibt sich ein klares Audit-Pflichtenheft: strukturiertes IKT-Risikomanagement, Redundanzkonzepte, klare Governance-Zuordnung und dokumentierter Stand-der-Technik-Abgleich.^72 Diese Elemente sind nicht nur regulatorische Pflicht (DORA/MiCA), sondern wirken als zivilrechtlicher Organisationsmaßstab und als Haftungsprävention.

D. Literaturempfehlungen

Schmitt/Suschinski/Heil, ZIP 2019, 2092 ff. (Art. 32/82 DSGVO; Kausalität; Schäden).
John/Schaller, CR 2022, 156 ff. (Nichtdisponibilität von Art. 32 DSGVO).
Dressel, ITRB 2019, 279 ff. (Rechenschaft, Dokumentation, Entlastungsbeweis).
Werner, WM 2024, 966 ff. (Sekundäre Darlegungslast bei Datenabfluss).
Weitzel, ITRB 2025, 209 ff.; Teichmann, BB 2025, 2760 ff. (DORA/Digitale Resilienz).
Casper/Reich, ZBB 2023, 133 ff.; Böger, WM 2025, 1909 ff. (Zahlungsdiensterecht; Risikoverteilung).
OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24; LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 (Art. 82 DSGVO in der Praxis).

Fußnoten

  1. Hortmann, AnwZert ITR 19/2025 Anm. 2, Stand: 06.08.2025.
  2. OLG Dresden, Urt. v. 30.01.2024 - 4 U 1398/23 Rn. 35.
  3. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 79-80.
  4. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 84-89.
  5. Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2093.
  6. Dressel, ITRB 2019, 279, 282.
  7. John/Schaller, CR 2022, 156, 159.
  8. John/Schaller, CR 2022, 156, 157 f.
  9. Dressel, ITRB 2019, 279, 280.
  10. Dressel, ITRB 2019, 279, 281.
  11. Dressel, ITRB 2019, 279, 282 f.
  12. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 28.
  13. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 70-73.
  14. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 73.
  15. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 85.
  16. Sajnovits, WM 2025, 1861, 1866.
  17. Werner, WM 2024, 966, 971.
  18. LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 1.
  19. LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 2.
  20. LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 3.
  21. Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2095.
  22. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 37.
  23. OLG Dresden, Urt. v. 30.01.2024 - 4 U 1398/23 Rn. 54.
  24. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 95-97.
  25. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 46.
  26. Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2093 f.
  27. Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2094 f.
  28. Bauer/Bergmann, ZBB 2007, 113, 119.
  29. Seibert, WM 2008, 2006, 2010.
  30. Itzel, jurisPR BGHZivilR 15/2023 Anm. 2.
  31. OLG Hamm, Urt. v. 13.07.2009 - 6 U 203/08 Rn. 12.
  32. Weitzel, ITRB 2025, 209, 210.
  33. Weitzel, ITRB 2025, 209, 212.
  34. Teichmann, BB 2025, 2760, 2765.
  35. Verordnung (EU) 2023/1114 (MiCA) vom 31.05.2023, gültig ab 30.12.2024.
  36. Art. 63 Abs. 1 MiCA.
  37. Art. 63 Abs. 2 MiCA.
  38. Art. 65 Abs. 2 MiCA.
  39. Art. 67 MiCA.
  40. ErwGr. 78 MiCA.
  41. Casper/Reich, ZBB 2023, 133, 136.
  42. Casper/Reich, ZBB 2023, 133, 138.
  43. Böger, WM 2025, 1909, 1913.
  44. Böger, WM 2025, 1909, 1914.
  45. Casper/Reich, ZBB 2023, 133, 145 f.
  46. OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 42.
  47. OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 45.
  48. BGH, Urt. v. 22.07.2025 - XI ZR 107/24 Rn. 33.
  49. OLG Dresden, Urt. v. 30.01.2024 - 4 U 1398/23 Rn. 35; LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 79-80.
  50. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 86, 90.
  51. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 84-89; Dressel, ITRB 2019, 279, 281.
  52. OLG Düsseldorf, Urt. v. 26.06.2008 - I-6 U 146/07 Rn. 62.
  53. LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 1.
  54. Werner, WM 2024, 966, 971.
  55. Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2094 f.
  56. LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 2-3.
  57. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 37.
  58. OLG Dresden, Urt. v. 30.01.2024 - 4 U 1398/23 Rn. 54.
  59. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 46.
  60. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 95-97.
  61. Böger, WM 2025, 1909, 1913.
  62. BGH, Urt. v. 05.03.2002 - VI ZR 398/00 Rn. 24-26.
  63. Fleischer, AG 2022, 377, 383.
  64. BGH, Beschl. v. 11.01.2022 - 3 StR 415/21 Rn. 11.
  65. Art. 65 Abs. 2 MiCA; Art. 67 MiCA; Weitzel, ITRB 2025, 209, 210.
  66. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 85; Dressel, ITRB 2019, 279, 281.
  67. OLG Frankfurt, Urt. v. 02.05.2025 - 6 U 14/24 Rn. 28; Schmitt/Suschinski/Heil, ZIP 2019, 2092, 2094 f.
  68. OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 42; BGH, Urt. v. 22.07.2025 - XI ZR 107/24 Rn. 33.
  69. Hortmann, AnwZert ITR 19/2025 Anm. 2.
  70. LG Mannheim, Urt. v. 15.03.2024 - 1 O 93/23 Rn. 86, 90.
  71. Werner, WM 2024, 966, 971; LG Lübeck, Beschl. v. 08.05.2024 - 15 O 224/23 Orientierungssatz 1.
  72. Weitzel, ITRB 2025, 209, 210; Weitzel, ITRB 2025, 209, 212; Teichmann, BB 2025, 2760, 2765; Dressel, ITRB 2019, 279, 282.

Weiterführende Beiträge & Ressourcen

Die folgenden Beiträge vertiefen zentrale Fragen zu Bankhaftung, Plattformverantwortung, Datenschutz, MiCA, DAC8, Vermögenssicherung und Soforthilfe bei Krypto-Betrug.

Wie sich Wallet- und SEPA-Spuren in solchen Konstellationen technisch sichern und rechtlich verwerten lassen, habe ich an anderer Stelle vertieft in meinem Beitrag Krypto Betrug & Wallet-Beweise – Anwalt erklärt Opfern, wie Bitcoin- und SEPA-Spuren wirken

Hybride Betrugsmuster 2026

Krypto Betrug Anwalt 2026: Neue Muster zwischen Wallet-Abfluss, Fake-Support und Schein-Auszahlung
https://www.hortmannlaw.com/articles/krypto-betrug-anwalt-2026-wallet-abfluss-fake-support

Love Scam Anwalt 2026: Wenn aus Nähe, WhatsApp und Krypto ein hybrider Betrugsfall wird
https://www.hortmannlaw.com/articles/love-scam-anwalt-2026-whatsapp-krypto-betrugsfall

Anlagebetrug Anwalt 2026: Fake Trading, Scheingewinne und Auszahlungsblockade als neues Muster
https://www.hortmannlaw.com/articles/anlagebetrug-anwalt-2026-fake-trading-auszahlungsblockade

Online Betrug Anwalt 2026: Wer bei hybriden Krypto-, Konto- und Plattformfällen haften kann
https://www.hortmannlaw.com/articles/online-betrug-anwalt-2026-krypto-konto-plattform-haftung

Bankhaftung & Zahlungsverkehr

Plattformhaftung, Wallets & Exchange-Verantwortung

Datenschutz, Auskunft & Geldwäsche

Regulierung & steuerliche Folgen

Vermögenssicherung & Soforthilfe

Weiterführende Beiträge zum AI Act, KI-Compliance und Krypto-Betrug

Die folgenden Beiträge vertiefen zentrale Fragen zum AI Act – von der Einordnung einzelner KI-Systeme über Hochrisiko-KI, Datenschutz und Governance bis hin zu Krypto-Betrug, Love Scam, manipulativer KI und Finanz-Compliance.

AI Act Anwalt – KI im Unternehmen rechtssicher umsetzen
Welche praktischen Umsetzungsprobleme Unternehmen beim AI Act tatsächlich lösen müssen – von Zuständigkeiten über Dokumentation bis Governance.
https://www.hortmannlaw.com/articles/ai-act-anwalt-unternehmen-ki-umsetzung-probleme

AI Act Anwalt – Wann ist KI überhaupt reguliert?
Die zentrale Vorfrage: Wann fällt eine konkrete Anwendung überhaupt unter den AI Act – und wann nicht?
https://www.hortmannlaw.com/articles/ai-act-anwalt-wann-ist-ki-reguliert

AI Act Anwalt – Hochrisiko-KI im Unternehmen richtig einstufen
Wann KI-Systeme als hochriskant gelten und warum die richtige Einstufung über den gesamten Compliance-Aufwand entscheidet.
https://www.hortmannlaw.com/articles/ai-act-anwalt-hochrisiko-ki-unternehmen

AI Act Anwalt – KI und DSGVO im Unternehmen
Warum AI Act und DSGVO parallel laufen und welche Probleme bei Datenverarbeitung, Transparenz und Verantwortlichkeit entstehen.
https://www.hortmannlaw.com/articles/ai-act-anwalt-dsgvo-ki-unternehmen

AI Act Anwalt – Haftung, Bußgeld und KI-Governance
Warum KI-Governance auf Leitungsebene verankert werden muss und welche Haftungs- und Bußgeldrisiken bei Organisationsfehlern drohen.
https://www.hortmannlaw.com/articles/ai-act-anwalt-haftung-bussgeld-ki-governance

AI Act Anwalt – Einfluss auf Krypto Betrug, Love Scam und Romance Scam
Wie der AI Act KI-gestützte Betrugsmuster mittelbar erfasst, ohne das klassische Betrugsrecht zu ersetzen.
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-love-scam-romance-scam

AI Act Anwalt – Manipulative KI bei Krypto-Betrug, Love Scam und Deepfakes
Deepfakes, synthetische Stimmen und KI-gestützte Täuschung im Fokus des AI Act.
https://www.hortmannlaw.com/articles/ai-act-anwalt-manipulative-ki-krypto-betrug-love-scam-deepfakes

AI Act Anwalt – Krypto-Betrug, Finanz-Compliance und Hochrisiko-KI
Warum Banken, Zahlungsdienstleister und krypto-nahe Akteure beim Einsatz von KI besonders sorgfältig prüfen müssen.
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-finanz-compliance-hochrisiko-ki

,
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

No items found.
Mehr anzeigen

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Kontakt aufnehmen