Hintergrund des Falls
Der Kläger erwarb im Jahr 2020 eine Trezor Hardware-Wallet, auf der er Kryptowährungen (Bitcoin und Ethereum) speicherte. Neben der Hardware-Wallet nutzte der Kläger auch die von der Beklagten bereitgestellte Trezor Suite Software, um Transaktionen durchzuführen. Im März 2022 wurde MailChimp, das US-amerikanische Unternehmen, das die Beklagte zur Verwaltung ihrer Newsletter einsetzte, Opfer eines Cyberangriffs. Bei diesem Angriff wurden auch die E-Mail- und IP-Adresse des Klägers gestohlen.
Einige Tage später erhielt der Kläger eine Phishing-Mail, die ihm vorgaukelte, es sei ein Sicherheitsupdate für seine Wallet erforderlich. Im Vertrauen auf den Absender und die vermeintliche Dringlichkeit folgte der Kläger den Anweisungen in der E-Mail und gab nach Download einer gefälschten Software seinen Recovery Seed ein. Kurz darauf wurden die Kryptoassets des Klägers im Wert von über 96.000 Euro von den unbekannten Tätern wegtransferiert.
Gerichtliche Entscheidung und Haftung
Das Landesgericht stellte fest, dass die Trezor Company für den entstandenen Schaden teilweise haftbar ist, insbesondere weil der Kläger nicht ausreichend darüber informiert wurde, dass seine personenbezogenen Daten an MailChimp, einen US-amerikanischen Dienstleister, übermittelt wurden. Das Gericht urteilte, dass die Beklagte die Hälfte des eingeklagten Betrags an den Kläger zahlen muss, wies jedoch den Rest des Klagebegehrens ab. Das Gericht nahm ein Mitverschulden des Klägers, da dieser die Risiken und die Wichtigkeit des Recovery Seeds hätte erkennen müssen, an.
Cyberkriminalität in der Kryptoindustrie: Ein wachsendes Problem
Dieser Fall verdeutlicht die anhaltenden Risiken, denen Besitzer von Kryptowährungen ausgesetzt sind, und die Bedeutung von Datenschutz und Datensicherheit. Trotz eines weltweiten Rückgangs des gesamten Betrags an gestohlenen Kryptoassets im Jahr 2023 auf 1,7 Milliarden US-Dollar bleiben Cyberangriffe auf Kryptoplattformen und deren Benutzer ein erhebliches Problem. Besonders besorgniserregend ist die Zunahme von Angriffen, bei denen Private Keys kompromittiert werden.
Verjährungsfrist und Handlungsempfehlung für weitere Geschädigte
Betroffene Trezor Kunden, die durch den Phishingangriff ähnliche Verluste erlitten haben, sollten beachten, dass Schadenersatzansprüche nach österreichischem Recht frühestens nach drei Jahren verjähren, beginnend ab dem Zeitpunkt, an dem sie von dem Schaden und dem Schädiger Kenntnis erlangt haben. Geschädigte können sich unter der Telefonnummer 01 3912345 oder per E-Mail taudes@atb.law bei Roman Taudes melden, um ihre Ansprüche zu prüfen und und gegebenenfalls Schadenersatz geltend zu machen.