Rechtliche Zuordnung gestohlener Kryptowährungen bei Phishing

Die rechtliche Zuordnung gestohlener Kryptowährungen gewinnt mit der zunehmenden Verbreitung von Bitcoin, Ether und anderen digitalen Vermögenswerten stetig an Bedeutung. Insbesondere Phishing-Angriffe führen regelmäßig zum Verlust erheblicher Kryptowerte, ohne dass klassische sachenrechtliche Mechanismen des Bürgerlichen Gesetzbuchs greifen.

Der Beitrag untersucht anhand eines praxisnahen Fallbeispiels die zivil- und strafrechtlichen Anspruchsgrundlagen zur Rückforderung gestohlener Kryptowährungen, die Rolle der Blockchain als Beweismittel sowie die praktischen Grenzen der Durchsetzbarkeit. Im Fokus stehen bereicherungsrechtliche Ansprüche gemäß § 812 Abs. 1 S. 1 Alt. 2 BGB, deliktische Haftungsfragen und die Problematik der personellen Zurechnung bei pseudonymen Wallet-Strukturen.

Rechtliche Herausforderungen bei gestohlenen Kryptowährungen

Kryptowährungen ermöglichen die dezentrale Verwaltung erheblicher Vermögenswerte ohne Intermediäre. Gleichzeitig haben sich neue Formen von Vermögensdelikten etabliert, insbesondere Phishing, Hacking und Social-Engineering-Angriffe. Geschädigte stehen regelmäßig vor dem Problem, dass die rechtliche Zuordnung gestohlener Kryptowährungen nicht über das klassische Eigentumsrecht erfolgen kann.

Da Kryptowährungen keine Sachen im Sinne des § 90 BGB sind, scheiden sachenrechtliche Herausgabeansprüche aus. Die Rückforderung erfolgt vielmehr funktional über schuld- und deliktsrechtliche Instrumente. Der Beitrag analysiert, auf welcher rechtlichen Grundlage gestohlene Kryptowährungen zugeordnet werden können, welche Ansprüche dem Geschädigten zustehen und welche Bedeutung der Blockchain als Beweismittel zukommt.

Sachverhalt: Phishing und Diebstahl von Kryptowährungen

A ist privater Anleger und verwahrte Bitcoin und Ether im Gesamtwert von ca. 75.000 Euro auf einer selbstverwalteten Wallet. Die Private Keys sowie die Seed Phrase waren ausschließlich A bekannt.

Im Januar 2025 erhielt A eine täuschend echt gestaltete E-Mail eines angeblichen Krypto-Dienstleisters. Unter dem Vorwand einer Sicherheitsüberprüfung wurde A aufgefordert, seine Wallet über einen bereitgestellten Link zu verifizieren. In gutem Glauben gab A dort seine Seed Phrase ein. Kurz darauf wurden sämtliche Kryptowährungen ohne seine Zustimmung auf mehrere fremde Wallets transferiert.

Ein Teil der Kryptowährungen wurde anschließend auf ein Konto bei einer europäischen Handelsplattform übertragen, die Know-your-Customer-Daten erhebt. Kontoinhaber ist B. Unklar ist, ob B selbst an der Phishing-Attacke beteiligt war oder die Kryptowährungen lediglich empfangen und weitergeleitet hat. A verlangt Herausgabe der Kryptowährungen oder Wertersatz und erstattete Strafanzeige wegen Betrugs.

Zentrale Rechtsprobleme bei gestohlenen Kryptowährungen

Der Fall wirft mehrere grundlegende Rechtsfragen auf:

• Kryptowährungen entziehen sich der klassischen sachenrechtlichen Eigentumszuordnung (§ 90 BGB).

• Die Verfügungsgewalt über Private Keys begründet lediglich faktische, nicht rechtliche Herrschaft.

• Die rechtliche Zuordnung erfolgt funktional über den Rechtsgrund der Erlangung der Verfügungsmacht.

• Mangels sachenrechtlicher Herausgabeansprüche kommt dem Bereicherungsrecht zentrale Bedeutung zu.

• Ein gutgläubiger Erwerb von Kryptowährungen ist ausgeschlossen.

• Blockchain-Daten sind beweisfähig, ersetzen jedoch nicht die personelle Zuordnung.

• Das Strafrecht dient primär der Täterermittlung und Beweissicherung, nicht der Rückabwicklung.

Zivilrechtliche Ansprüche bei gestohlenen Kryptowährungen

Anspruch aus § 812 Abs. 1 S. 1 Alt. 2 BGB

Ein Anspruch aus ungerechtfertigter Bereicherung setzt voraus, dass der Anspruchsgegner etwas ohne rechtlichen Grund auf Kosten des Anspruchstellers erlangt hat.

B hat durch den Empfang der Kryptowährungen einen Vermögensvorteil erlangt. Die Erlangung erfolgte auf Kosten des A, da die Übertragung ohne dessen wirksame Zustimmung stattfand. Ein Rechtsgrund liegt nicht vor, da die Seed Phrase durch Täuschung erlangt wurde und keine wirksame Verfügung des A gegeben ist.

Der Anspruch richtet sich auf Herausgabe der erlangten Kryptowährungen oder, sofern diese nicht mehr vorhanden sind, auf Wertersatz. Die praktische Durchsetzbarkeit hängt maßgeblich davon ab, ob die empfangende Wallet dem B rechtlich zugerechnet werden kann.

Deliktische Ansprüche

Deliktische Ansprüche gemäß § 823 Abs. 2 BGB in Verbindung mit § 263 oder § 263a StGB kommen nur in Betracht, wenn B selbst an der Phishing-Handlung beteiligt war oder zumindest vorsätzlich an der Schädigung mitgewirkt hat.

Hat B die Kryptowährungen lediglich empfangen oder weitergeleitet, ohne Kenntnis von deren deliktischer Herkunft, scheidet eine deliktische Haftung regelmäßig aus. In diesen Fällen verbleibt es bei bereicherungsrechtlichen Rückforderungsansprüchen.

Ausschluss des gutgläubigen Erwerbs

Ein gutgläubiger Erwerb analog §§ 932 ff. BGB ist ausgeschlossen, da Kryptowährungen keine Sachen sind. Auch bei mehrfacher Weiterübertragung bleibt die ursprüngliche Rechtswidrigkeit der Erlangung bestehen. Jeder Empfänger ohne Rechtsgrund kann grundsätzlich auf Herausgabe oder Wertersatz in Anspruch genommen werden.

Strafrechtliche Einordnung

Strafrechtlich kommt insbesondere Betrug (§ 263 StGB) oder Computerbetrug (§ 263a StGB) in Betracht. Die Strafanzeige dient vor allem der Identifikation der Täter, der Sicherung von Beweismitteln und gegebenenfalls der Abschöpfung von Taterträgen.

Die Rückführung der Kryptowährungen erfolgt jedoch nicht im Strafverfahren selbst, sondern über zivilrechtliche Ansprüche. Das Strafrecht hat insofern eine flankierende Funktion.

Blockchain als Beweismittel bei Krypto-Diebstahl

Die Blockchain bietet eine vollständige, unveränderliche Transaktionshistorie. Transfers lassen sich technisch eindeutig nachvollziehen und dokumentieren. Diese Daten entfalten im Zivilprozess eine erhebliche Indizwirkung.

Für eine erfolgreiche Anspruchsdurchsetzung ist jedoch zusätzlich erforderlich, die jeweilige Wallet einer natürlichen oder juristischen Person zuzuordnen. Dies erfolgt regelmäßig über KYC-Daten von Handelsplattformen, IP-Adressen, Kommunikationsverläufe oder weitere externe Beweismittel.

Europäische und internationale Bezüge

Die europäische MiCA-Verordnung verpflichtet Krypto-Dienstleister zu erweiterten Sorgfalts- und Transparenzpflichten. Eine eigenständige vermögensrechtliche Zuordnungsdogmatik für Kryptowährungen wird dadurch jedoch nicht geschaffen.

In grenzüberschreitenden Fällen stellen sich zusätzliche Fragen nach dem anwendbaren Recht, dem internationalen Gerichtsstand und der Vollstreckbarkeit zivilrechtlicher Ansprüche.

Gutachtenergebnis

• Anspruch des A gegen B aus § 812 Abs. 1 S. 1 Alt. 2 BGB ist grundsätzlich gegeben.

• Die Durchsetzbarkeit hängt von der personellen Zuordnung der empfangenden Wallet ab.

• Deliktische Ansprüche bestehen nur bei Beteiligung des B an der Phishing-Handlung.

• Ein gutgläubiger Erwerb von Kryptowährungen ist ausgeschlossen.

• Blockchain-Daten haben Beweis- und Indizwirkung, ersetzen aber nicht die Zurechnung.

• Das Strafrecht dient primär der Aufklärung, nicht der Rückabwicklung.

Fazit

Die rechtliche Zuordnung gestohlener Kryptowährungen erfolgt nicht über Eigentum, sondern funktional über den Rechtsgrund der Erlangung der Verfügungsgewalt. Das Bereicherungsrecht bildet den zentralen zivilrechtlichen Rückforderungsmechanismus bei Phishing-Angriffen. Die Blockchain liefert wertvolle Beweise, kann die personelle Zurechnung jedoch nicht ersetzen.

Die bestehende Rechtsordnung ist grundsätzlich geeignet, auf Krypto-Diebstähle zu reagieren. In der Praxis scheitert die Rückabwicklung jedoch häufig an der pseudonymen Struktur dezentraler Systeme. Langfristig erscheint die Entwicklung einer eigenständigen vermögensrechtlichen Dogmatik für digitale Vermögenswerte sinnvoll.