Bitcoins und das Recht: Delikt oder ver­zwickt?

Eine Kryptowährung zu hacken ist vergleichbar mit einem klassischen Kontomissbrauch. Letzterer läuft folgendermaßen ab: Jemand erbeutet Kontodaten (nebst entsprechender SIM- oder Girocard) und PIN des Inhabers und hat sodann Zugriff auf dessen Konto. Für Überweisungen von diesem aus genügt allerdings heute nicht mehr die Kenntnis des PIN, der "Kontodieb" benötigt für jede Überweisung noch eine Transaktionsnummer (TAN), die für jede Einzelüberweisung gesondert erstellt wird. Diese generiert typischerweise ein kleines, dem Kontoinhaber von der Bank übergebenes Elektrogerät, manche Nutzer entscheiden sich auch für eine TAN-Übermittlung per SMS.

Bei der "Überweisung" von Bitcoins geschieht dies auf ähnlichem Weg, nur gibt es hier keine TAN. Das liegt daran, dass zwischen Empfänger und Begünstigtem keine Bank als Mittler steht. Von Nachteil ist das aber kaum, denn die Ausschaltung von teuren und deshalb unnötigen Intermediären im Zahlungsverkehr ist einer der Hauptgründe für die Existenz und Attraktivität von Blockchain und Kryptowährungen.

Wenn es also keine Bank gibt, kann es auch keine TAN geben. Das heißt: Wer neben dem sogenannten Public Key, vergleichbar mit der Kontonummer, den sogenannten Private Key, also eine Art PIN, besitzt, kann über die mit diesem Public Key verbundenen Rechnungseinheiten frei verfügen. Das Fehlen einer kontoführenden Bank führt aber noch zu einem weiteren, für die rechtliche Einordnung dieser Phänomene entscheidenden Umstand: Der Public Key als Pendant zum Schließfach oder Konto ist - anders als im Bankenverkehr - rechtlich keiner Person zugeordnet. Vielmehr liegt das Konto gläsern und für alle einsehbar im virtuellen Raum. Verfügungsgewalt hat aber nur der Inhaber des privaten Schlüssels.

Die Übertragung von Bitcoins nach deutschem Recht

Ein früherer LTO-Beitrag hat bereits die Frage aufgeworfen, wie das deutsche Recht die Übertragung von Bitcoins behandelt. Davor ist aber zu klären, ob deutsches Recht in solchen Fällen überhaupt anwendbar ist. Dass die Wirksamkeit einer Grundstücksübertragung in Wanne-Eickel sich nach deutschem Recht beurteilt, leuchtet jedem ein. Aber was ist mit virtuellen Rechnungseinheiten, die im Internet hin- und hergeschoben werden?

Wer die Normen zum internationalen Privatrecht aufschlägt und dabei die sogenannten Rom-Verordnungen, insbesondere die Rom-II-Verordnung, in den Blick nimmt, merkt rasch: Es ist einfach schwierig, man dreht sich im Kreis. Denn welches Recht anwendbar ist, bemisst sich nach der Einordnung einer bestimmten Handlung nach dem jeweiligen Rechtssystem.

So gelten etwa für Verschulden bei Vertragsverhandlungen, Geschäftsführung ohne Auftrag, Bereicherungen oder eine klassische deliktische Handlung jeweils andere Vorschriften und Verweisungen. Also ist eine andere Frage noch vorher zu klären: Welche Ansprüche hat A gegen B, wenn B sich den Private Key von A ergaunert und damit eine Überweisung auf ein von ihm genutztes Kryptokonto tätigt?

Problem nach dem Hack: Alles noch da, aber wertlos

Der besagte Beitrag beschreibt zutreffend, dass sich ein Schutz von A über § 823 Bürgerliches Gesetzbuch (BGB) nicht oder nur mit juristischen Bauchkrämpfen bewerkstelligen lässt. Denn: Nach dem "Diebstahl" eines privaten Schlüssels und Übertragung der Bitcoins durch den Übeltäter sind nur Teile der Rechnungseinheiten weg, Konto und Schlüssel selbst sind aber weiterhin da. Das macht es schwierig, denn das BGB kennt die Zuordnung von Rechtspositionen als Besitz oder Eigentum an einer Sache oder als Inhaberschaft von Forderungen oder Rechten.

Insbesondere die rechtliche Zuordnung von Sachen fällt uns leicht, da sie unserer Intuition entspricht: Eine Sache existiert körperlich, man kann sie anfassen, riechen, schmecken und im Streit auch mal knallen oder krachen hören. Die Zuordnung der jeweiligen Sache zu einer Person ergibt sich wie von selbst. Irgendjemand hat die tatsächliche Verfügungsgewalt und je nach konkreter Abfolge von Herstellung, Übertragung, Vererbung, manchmal auch (Schatz-)Fund oder Ersitzung gibt es einen –gelegentlich davon personenverschiedenen– Eigentümer, den rechtlichen Herrscher über die Sache.
Bitcoins und Kryptowährungen sind aber keine Sache, weil sie nur virtuell existieren. Zudem können nach ihrer Konzeption Besitz und Eigentum kaum auseinanderfallen. Zwar gilt einerseits der alte Werbeslogan von D2-Mannesmann: Der eine hat’s, der andere nicht. Andererseits aber auch: Wer hat, der hat.

In der Praxis entscheidend ist demnach allein die Verfügungsgewalt über den Inhalt des Kontos, also Kenntnis vom Private Key. Das Konto selbst ist - anders als ein Bankkonto - nicht mit einer konkreten Person ver- oder an den Willen einer solchen geknüpft. Es gibt keinen Kontoinhaber, sondern nur faktisch Kontozugriffshabende. Für Hardware-Wallets, also virtuelle Geldbörsen in Form eines USB-Sticks oder einer externen Festplatte zum Beispiel, gilt nichts anderes: Auch sie führen nicht zu einer Sachqualität der mit ihnen in Verbindung stehenden Coins. Denn diese physischen Datenträger verkörpern nicht - einem Wertpapier oder physischem Geld gleich - aus sich heraus einen bestimmten Wert, sondern sind nur Schlüssel zum Schlüssel. Das Eigentum am Hardware-Wallet als Gegenstand selbst ist beinahe wertlos.

Bereicherungsrecht als Lösung?

Sind Bitcoins auf einem Konto dann vielleicht so etwas wie Forderungen oder Rechte? Keineswegs. Forderungen oder Rechte begründen Ansprüche oder Rechte gegen eine oder mehrere Personen. Eine virtuelle Rechnungseinheit aber existiert einfach. Ich kann sie übertragen oder liegenlassen, ohne Schuldvertrag aber nicht alleine aufgrund meiner Herrschaft über eine virtuelle Rechnungseinheit etwas von einem anderen verlangen. Darin zeigt sich wiederum ein Unterschied zum Bankkonto: Die Überweisung eines Anderen auf mein Konto gibt mir zwar ebenfalls eine Rechnungseinheit, verschafft mir aber darüber hinaus einen Anspruch auf Gutschriftserteilung gegen meine Bank.

War's das also für "beraubte" Schlüssel-Inhaber oder gibt es vielleicht noch eine kleine Chance auf Schutz gegen Bitcoin-Hacker? Die Antwort lautet wie so oft: Es kommt darauf an.

Eine der verklausuliertesten, vertracktesten und in ihrer Komplexität schwer zu überschauenden Normen im BGB legt fest: Wer durch die Leistung eines anderen oder in sonstiger Weise auf dessen Kosten etwas ohne rechtlichen Grund erlangt, ist ihm zur Herausgabe verpflichtet. Es handelt sich um § 812 Abs. 1 Satz 1 BGB, genauer gesagt um dessen zweite Alternative (Eingriffskondiktion). Der Kontohacker mag mangels Sachqualität von Bitcoin kein Dieb sein, bereichert ist er aber allemal. Denn er erlangt -aus seiner Sicht- in sonstiger Weise auf Kosten des ursprünglichen alleinigen Inhabers der Verfügungsgewalt über das Konto etwas, nämlich einen faktisch vermögenswerten Vorteil in Gestalt von Rechnungseinheiten. Das Ganze geschieht ohne Rechtsgrund, sonst wäre es ja kein Hack, sondern eine normale Transaktion mit Leistung und Gegenleistung.

Zuvielüberweisungen lassen sich beispielsweise ebenfalls über das Bereicherungsrecht (Leistungskondiktion) lösen. Die übertragenen Rechnungseinheiten müssen auch nicht im Original retourniert werden: Nach § 818 Abs. 2 BGB genügt die Herausgabe des Wertes.

Zurück zum anwendbaren Recht

Für Ansprüche aus ungerechtfertigter Bereicherung gilt sodann Art. 10 der Rom-II-Verordnung: In Bezug auf Ansprüche aus Eingriffskondiktion wegen Kontohacks könnte man gemäß Absatz 1 dieser Norm deutsches Recht anwenden, wenn man in dem Handeln des Hackers gleichzeitig ein deliktisches Handeln sieht. Neben einer schwerlich begründbaren Verwirklichung von § 823 BGB kommt aber eine vorsätzliche sittenwidrige Schädigung nach § 826 BGB in Betracht, was die Anwendbarkeit deutschen Rechts begründen würde.

Sieht man dies anders, so gelangt man über Art. 10 Abs. 3 Rom-II-Verordnung zur Anwendung des Rechts an dem Ort des Bereicherungseintritts. Das wäre mangels Verortbarkeit des virtuellen Kontos wohl der Wohnsitz des Coinhackers. Rechtspolitisch wünschenswert erscheint vor diesem Hintergrund eher der Weg über Art. 10 Absatz 1.

Doch bevor sich nun der Meinungsstreit entfachen kann, gibt es einen dicken Dämpfer: Die Durchsetzung der Ansprüche steht bedauerlicherweise auf einem anderen Blatt. Der so geschädigte Bitcoin-"Inhaber" müsste vor Klage, Urteil und dessen (gegebenenfalls im Ausland erfolgender) Vollstreckung zunächst die Identität des zu verklagenden Angreifers erfahren. Daran dürfte die Rückgewähr "erhackter" Rechnungseinheiten in beinahe allen Fällen scheitern.

Die Anonymität im Kryptozahlungsverkehr hat also ihre Schattenseiten. Grenzenlose Freiheit geht einher mit eklatanten (Rechts-)Sicherheitslücken. Die Debatte um die Einpassung von Kryptowährungen in die Zivilrechtsdogmatik darf mit ebensoviel Spannung erwartet werden wie die nutzerfreundlichere Ausgestaltung neuer Währungen und die jeweiligen (über)staatlichen Regulierungsversuche. Nur eins ist dabei sicher: Nichts bleibt so, wie es ist.

Der Autor Konstantin Filbinger ist Rechtsanwalt bei Theopark Rechtsanwälte Steuerberater in Nürnberg.