Ein kalifornisches Gericht entscheidet derzeit, ob die Besitzer von Token einer DAO auch für diese haften müssen. Ein Zwischenurteil lässt nichts Gutes ahnen …
Oh, die Gerichte. In der Monsterwelle der Prozesse, die gerade über die Krypto-Branche rollt, sticht einer besonders hervor: Sarcuni gegen bZx DAO. Eigentlich geht um eine sehr überschaubare Summe, gerade mal 1,7 Millionen, was für Krypto eher nichts als viel ist. Aber es geht um so vieles mehr: um ein Grundsatzurteil, welche Verantwortung man übernimmt, wenn man ein Token einer DAO hält.
Haltet ihr Token von Uniswap, Compound, Aave, Arbitrum, ENS, Maker und so weiter? Wenn ja, dann solltet ihr gründlich weiterlesen. Denn kann es sein, dass der Besitz eines Tokens ausreicht, um haftbar gemacht zu werden?
Die gruselige These, dass man durch den Besitz von DAO-Token zum vollumfänglich haftungspflichtigen Mitglied einer GbR wird, hat der Jurist Robert Müller bereits geäußert. Nun nimmt sich ein Gericht in Kalifornien dieser Frage an – und beantwortet sie mit einem vorläufigen “Ja!”. DAO-Token machen einen zum Mitglied einer “General Partnership”, was im Deutschen einer GbR entspricht.
Aber beginnen wir zunächst am Anfang.
Ein sehr dummer Unfall
Die bZx DAO ist die Herausgeberin des DeFi-Protokolls bZx, welches eine Art Grundlage dafür ist, weitere DeFi-Tools zu bauen, etwa fürs Margin Trading oder Lending von Kryptowährungen, auf den Blockchains Ethereum, Polygon und Binance Smart Chain. Wie so viele andere DAOs basiert bZx auf Governance-Token, BZRX, welche den Besitzern Stimmrechte geben, um etwa über Änderungen am Protokoll abzustimmen.
Soweit, so gewöhnlich. Das machen alle so. Dann aber wurde das Protokoll gehackt, und zwar auf eine ziemlich dumme, nachlässige Weise: Einer der Entwickler öffnete eine Phishing-Email, woraufhin ein Hacker an den Seed seiner Wallet kam. Dieses war “absolut kritisch”: Sie enthielt einen Schlüssel, durch den man in den Maschinenraum des Protokolls gelangt, wodurch der Hacker auf den Blockchains Polygon und Binance Smart Chain alle Token abziehen konnte, die im bZx-Protokoll lagen, darunter BZRX-Token, aber auch Ether und andere Coins. So wurden Token in Wert von rund 55 Millionen Dollar gestohlen. So etwas sollte eigentlich nicht passieren KÖNNEN.
Die DAO hat danach einen eigenartigen Beschluss gefasst: Die BZRX-Token werden 1:1 ersetzt, da sie die Mittel dazu in ihrer Schatzkammer hat, während andere Token, wie Ethereum, durch einen “Schuldentilgungsplan” nach und nach zurückbezahlt werden, was aber, so einige der Betroffenen, tausende von Jahren dauern würde.
An dem Vorfall ist so vieles falsch. So wird es etwa den Sicherheitsversprechen, die die bZx-Webseite gemacht hat, nicht gerecht. Die Entwickler der DAO hatten bereits Sicherheitsmechanismen auf Ethereum eingerichtet, weshalb die Token dort nicht gehackt wurden – nicht aber auf den anderen Blockchain, wo die DAO – und mit ihr der beteiligten Entwickler – eine Schattentreuhand auf die Coins der User ausübte. Auch der Entschädigungsplan ist nicht wirklich angemessen. Die DAO hätte ja die BZRX-Token aus der Schatzkammer liquidieren können, um alle Coins in gleichen Anteilen zu ersetzen. Doch vermutlich fürchtete sie, damit den Marktwert der Token – und damit die eigenen Reichtümer – zu demolieren.
Wir haben also Nachlässigkeit, falsche Versprechen und einen unfairen Kompensationsplan – perfekte Voraussetzungen, um vor Gericht zu gehen.
Die Sammelklage
19 Opfer des Hacks, denen andere Token als BZRX gestohlen wurde, haben sich zusammengetan und eine Sammelklage bei einem kalifornischen Bezirksgericht eingereicht. Es geht bei einzelnen um Werte zwischen einigen Hundert und einigen Hunderttausend Dollar, die sich insgesamt auf etwa 1,7 Millionen Dollar summieren.
Doch wer soll angeklagt werden? Diese Frage macht den eigentlich eher kleinen Prozess so bedeutend: Das Gericht wird einen Präzedenzfall schaffen, ob es will oder nicht.
Die Kläger behaupten, dass die DAO effektiv eine “General Partnership” ist, quasi eine GbR, und dass daher die beteiligten Partner für Schäden haften müssen – und das sind diejenigen, die BZRX-Token besitzen.
Bevor wir den durchaus merkwürdigen Untiefen dieser Diskussion auf den Grund gehen, betrachten wir aber zunächst die Besonderheiten des Falls.
Kann man den Fall ent-generalisieren?
Die Klage richtet sich nicht an die DAO und ihre Mitglieder im Generellen, sondern an Individuen und Unternehmen, die im Verdacht stehen, Partner der DAO zu sein: Kyle Kistner, Tom Bean, bZeroX LLC, Leveragebox LLC und AGE Crypto GP. Diese Parteien werden als Partner der General Partnership betrachtet, welche laut Kläger nur vorgab, eine DAO zu sein.
Man könnte den Fall damit ein stückweit “ent-generalisieren”, indem er von der Frage wegrückt, ob DAO-Mitglieder grundsätzlich haftbar sind – oder ob diejenigen haftbar sind, die versuchen, sich der Verantwortung für unternehmerische Handlungen zu entziehen, indem sie eine DAO gründen.
Das bZx-Protokoll lag bei seiner Gründung unter Kontrolle von bZerox LLC, einem Unternehmen, das von Tom Bean und Kyle Kistner gegründet wurde. Die Produkte des Protokolls, Fulcrum und Torque, wurden von Leveragebox LLC betrieben, das ebenfalls von Bean und Kistner gegründet wurde. Im August 2021 ging dann die Kontrolle über das Protokoll an eine DAO über, welche durch die Besitzer der BZRX-Token kontrolliert wird. bZeroX transferierte seine Assets an die DAO und wurde dann aufgelöst.
All das ist relativ normal für eine DAO. Man könnte diese Geschichte mit leichten Variationen auch für DAOs wie Uniswap oder Compound erzählen. Daher dürfte das Urteil des Gerichts auch für diese relevant sein.
Partner oder kein Partner?
Die Verteidiger haben versucht, den Fall abzuweisen. Sie behaupteten, es fehle ein konkreter Anspruch sowie eine persönliche juristische Verantwortung. Das Gericht hat diesen Einspruch zum Teil angenommen und zum Teil abgewiesen.
Der juristische Begriff, um den es geht, ist die “General Partnership”. Das Gericht erklärt, dass nach kalifornischem Recht “eine Verbindung von mindestens zwei Personen, die Ko-Eigentümer eines nach Gewinn strebenden Unternehmens sind, eine Partnerschaft bildet, unabhängig davon, ob dies ihre Intention war.” Lediglich die Gründung einer anderen Organisation – eine GmbH, eine Limited – hebt die Partnerschaft auf. Dies entspricht weitgehend der deutschen Rechtslage zur GbR.
Bean und Kastner haben durch die Übergabe der Kontrolle von der LLC zur DAO versucht, sich der Verantwortung für das Protokoll zu entledigen. Doch wie es aussieht, haben sie lediglich die Limitierung der Haftung, im Sinne einer GmbH (LLC) aufgehoben.
Die Kläger behaupten, dass bZx nur vorgab, eine DAO zu bilden, die keinerlei bindende formale rechtliche Struktur habe, obwohl die Besitzer der Token “General Partner” seien, also quasi die Partner eine GbR, und auch also solche behandelt werden sollten: Jeder Partner sei in vollem Umfang für die Verbindlichkeiten der DAO haftbar.
Die Verteidiger wenden dagegen ein, dass die Kläger keine ausreichenden Beweise dafür vorlegen, dass es sich um eine solche Partnerschaft handelt.
Ab wann ist man ein Partner?
In der vorläufigen Entscheidung urteilt das Gericht, dass die Kläger ausreichend darlegen, dass die Token-Besitzer eine Partnerschaft bilden, da sie durch die BZRX-Token “Governance Rights”, also Mitbestimmungsrechte, an der DAO halten. In soweit – also in der entscheidenden generellen Frage – stimmt das Gericht den Klägern vollständig zu. Der Besitz von Governance-Token kann einen zum Teil einer Partnership bzw. GbR machen. Damit wird der Alptraum wahr, den der Jurist Robert Müller schon im Herbst 2022 beschrieben hat.
Doch im Speziellen weist das Gericht die Klage zu weiten Teilen ab. Denn wenn jeder, der Token hält, ein Partner ist, müssen die Kläger beweisen, dass die Beklagten auch Token halten. Dies haben die Kläger nicht unternommen. Für die beiden Gründer Kistner und Bean setzt das Gericht dies aber voraus, da sie an der Entscheidungsfindung zum Protokoll teilgenommen haben. Dasselbe trifft auf Hashed International LLC und AGE Crypto GP zu. Wer mitbestimmt, besitzt zwingendermaßen Token.
Anders sieht es bei den anderen Beklagten aus, bei Leveragebox LLC und bZeroX LLC. Von Leveragebox ist nicht bekannt, dass sie Governance Token haben, und bZeroX existierte nicht mehr als juristische Person, als es zu Hack kam. Bei beiden ist daher nicht bewiesen, dass sie zu diesem Zeitpunkt Partner der GbR waren.
Die große unbeantwortete Frage
Der Besitz eines Tokens macht einen zwar, so das Zwischenurteil des kalifornischen Gerichts, zu einem vollumfänglich haftbaren Partner einer DAO. Doch den Beweis, dass man ein Token hält, erkennt es vor allem in der Ausübung der damit verbundenen Mitbestimmungsrechte. Wer daher nicht nachgewiesenermaßen an Protokoll-Abstimmungen teilgenommen hat, dürfte also aus dem Schneider sein.
Allerdings könnte der Besitz von Token in Zukunft auch durch andere Methoden ermittelt werden, etwa Blockchain-Analysen oder Auskünfte von Börsen oder den Betreibern von Webseiten. Daher sollte man nicht zuviel auf dieses Schlupfloch setzen.
Überhaupt bleibt die vermutlich wichtigste Frage unbeantwortet: Wenn jeder, der Token hält, zu einem haftbaren Partner der DAO wird, dann führt das, erklären die Juristen von thecod3x, zu dem merkwürdigen Ergebnis, dass auch die Kläger selbst vermutlich Partner sind – und sich also selbst anklagen. Nötig wäre vielmehr, einen “bedeutungsvollen Anteil” der Token zu definieren, der einen erst zum Partner macht. Doch dies geschah in diesem Fall nicht – sollte aber der nächste Schritt sein, um wieder ein Stück Rechtssicherheit zu schaffen, nachdem das Gericht den Besitzern von DAO-Token aller Art den (rechtlichen) Boden unter den Füßen weggerissen hat.