Wer im Darknet Drogen im Wert von 41 Millionen Euro umschlägt, braucht jemanden, der die Server stillhält, wenn die Behörden anklopfen – und genau dieser Jemand stand im Cyberbunker-Verfahren vor Gericht, ohne am Ende für die einzelnen Drogengeschäfte als Gehilfe zu haften. Der Bundesgerichtshof hat in seinem Urteil vom 12. September 2023 (3 StR 306/22) erstmals höchstrichterlich entschieden, wo die strafrechtliche Verantwortlichkeit eines Bulletproof-Hosters beginnt und – für viele überraschend – wo sie endet. Die Entscheidung verdient gerade deshalb Aufmerksamkeit, weil sie ein erkennbar auf Kriminalität ausgerichtetes Geschäftsmodell als kriminelle Vereinigung erfasst, zugleich aber offenlegt, dass die klassische Beihilfedogmatik beim arbeitsteiligen, anonymisierten Internet-Hosting an ihre Grenzen stößt.
Beachten Sie dazu meine Besprechung „Strafbarkeit eines „Bulletproof-Hosting“-Angebots („Cyberbunker“)“ erschienen in Ferner, jurisPR-StrafR 16/2025 Anm. 3
Das Geschäftsmodell als Programm
In einem ehemaligen NATO-Bunker im rheinland-pfälzischen Traben-Trarbach betrieb eine achtköpfige Gruppe ein hochgesichertes Rechenzentrum, das sich offen als „Bulletproof-Hoster“ vermarktete. Gehostet wurde nahezu jeder Inhalt mit Ausnahme von Kinderpornographie und Terrorismus, und zwar nach der Devise „stay online, no matter what“. Kunden mussten keine Personalien angeben, gezahlt wurde zu über 90 Prozent anonym in Bitcoin, Missbrauchsmeldungen blieben zu rund 80 Prozent ungelesen, und auf Wunsch verschleierte ein kostenpflichtiger „Stealth-Service“ die genutzten IP-Adressen.
Über diese Infrastruktur liefen Darknet-Marktplätze wie der zeitweise zweitgrößte Drogenhandelsplatz der Welt. Die juristische Pointe liegt darin, dass das Landgericht Trier die Angeklagten zwar wegen mitgliedschaftlicher Beteiligung an einer kriminellen Vereinigung verurteilte, sie aber von den konkreten Beihilfevorwürfen freisprach – und der Senat dies bestätigte und die Schuldsprüche sogar zur Beteiligung an einer auf besonders schwere Straftaten gerichteten Vereinigung nach § 129 Abs. 5 Satz 3 StGB verschärfte.
Hosting als objektive Beihilfe – aber zu welcher Tat?
Materiell-rechtlich beginnt die Analyse beim objektiven Tatbestand. Dass die Vermietung, Bereitstellung und Administration von Serverspeicherplatz die darüber begangenen Straftaten Dritter förderte, war für den Senat unzweifelhaft; wer einem Drogenmarktplatz die technische Plattform liefert, leistet objektiv einen Tatbeitrag. Bei der Konstellation der Marktplätze handelte es sich dabei um eine Beihilfe zur Beihilfe: Die Vereinigung half den Plattformbetreibern, die ihrerseits den eigentlichen Drogenverkäufern halfen.
Der objektive Förderungsbeitrag trägt jedoch keine Strafbarkeit, solange der subjektive Tatbestand fehlt. Genau an dieser Stelle scheiterte die Beihilfe – nicht am äußeren Geschehen, sondern an der inneren Tatseite.
Die neutrale Handlung – warum die Privilegierung versagte
Hosting ist im Ausgangspunkt eine berufstypische, äußerlich neutrale Dienstleistung. Für solche Handlungen gilt eine restriktive Lösung: Strafbar macht sich der Unterstützer nur, wenn er positiv weiß, dass das Verhalten des Haupttäters ausschließlich auf eine Straftat abzielt, oder wenn bei bloß bedingtem Vorsatz das erkannte Risiko strafbaren Verhaltens so hoch ist, dass er sich die Förderung eines erkennbar tatgeneigten Täters angelegen sein lässt.
Der Senat verneinte hier den Charakter einer neutralen Handlung gleich aus zwei Gründen. Das Cyberbunker-Geschäftsmodell beschränkte sich nicht auf branchenübliche Dienste, sondern verband das Speichern untrennbar mit Verschleierung, Abschirmung vor staatlichen Eingriffen und dem fortgesetzten Hosting auch bei erkannter krimineller Nutzung; zudem nahm die Gruppe gerade jene Kunden ins Visier, denen legale Anbieter wegen ihres strafbaren Verhaltens keine Dienste gewährten. Daneben war die Vereinigung darauf gerichtet, in Kenntnisfällen Beihilfe mit dem sicheren Wissen zu leisten, konkret bekannt gewordene Straftaten zu fördern – auch das schließt eine neutrale Unterstützungshandlung aus.
Bruch mit dem „Sich-zu-eigen-Machen“
Eine in der Literatur besonders gewürdigte Weichenstellung betrifft die Haftungsprivilegierung des damaligen § 10 Satz 1 TMG (heute Art. 4 ff. DSA), die auf Art. 14 der E-Commerce-Richtlinie zurückgeht und im Strafrecht als Vorsatzregelung wirkt. Sie befreit den Diensteanbieter von der Verantwortlichkeit für fremde Informationen, solange er keine positive Kenntnis von der rechtswidrigen Handlung hat – strafrechtlich übersetzt also eine Haftung erst bei direktem Vorsatz zweiten Grades hinsichtlich der gespeicherten Inhalte.
Bemerkenswert ist, dass sich der Senat zur Begrenzung dieses Privilegs nicht der bislang in der deutschen Rechtsprechung verbreiteten Figur des „Sich-zu-eigen-Machens“ bedient, sondern dem unionsrechtlich vorgeprägten Neutralitätskriterium des EuGH folgt. Danach privilegiert die Vorschrift nur technische, automatisierte Tätigkeiten passiver Art, bei denen sich der Anbieter auf eine neutrale Rolle beschränkt. Das aktive Verschleiern, Abschirmen und Weiterhosten sprengt diesen Rahmen; hinzu kommt, dass die Berufung auf eine unionsrechtliche Privilegierung zur Legitimierung krimineller Aktivitäten rechtsmissbräuchlich wäre und aus offensichtlichem Rechtsmissbrauch kein rechtlicher Vorteil erwächst. Diese Abkehr vom Zueigenmachen hin zum europäischen Neutralitätsmaßstab ist die zukunftsträchtigste Aussage des Urteils, weil sie unter dem Digital Services Act fortwirkt.
Doppelter Gehilfenvorsatz als entscheidende Hürde
Trotz dieser für die Anklage günstigen Vorklärungen scheiterte die Beihilfe am Kern des subjektiven Tatbestands: dem doppelten Gehilfenvorsatz. Nach gefestigter Rechtsprechung muss der Gehilfe die wesentlichen Merkmale der Haupttat – insbesondere ihren Unrechtsgehalt und ihre Angriffsrichtung – erkennen oder zumindest in seinen bedingten Vorsatz aufgenommen haben; eine Vorstellung von Einzelheiten ist entbehrlich, eine auf eine hinreichend konkretisierte Haupttat bezogene Vorstellung dagegen nicht.
Diese Konkretisierung fehlte. Die Angeklagten wussten zwar allgemein, dass die meisten Mieter ihre Server für irgendwelche strafbaren Zwecke nutzten, und nahmen dies billigend in Kauf. Zu den Zeitpunkten, in denen sie die relevanten Förderungsbeiträge erbrachten, hatten sie jedoch keine Kenntnis davon, welche Plattformen liefen oder dass dort Betäubungsmittelgeschäfte abgewickelt wurden. Ihr bedingter Vorsatz ging allein dahin, „möglicherweise irgendwelche strafbaren Aktivitäten irgendwelcher Dritter“ zu fördern – und dieses Für-möglich-Halten beliebiger internettypischer Straftaten genügt für einen Beihilfevorsatz gerade nicht.
Dolus subsequens …
Hinzu kommt ein dogmatisch sauberes, praktisch leicht übersehenes Problem der zeitlichen Reihenfolge. In vielen Fällen erlangten die Angeklagten erst nachträglich – durch Missbrauchsmeldungen, Serverbeschlagnahmen oder behördliche Auskunftsersuchen – positive Kenntnis von der tatsächlichen Servernutzung. Dieses spätere Wissen ist ein dolus subsequens und vermag die Beihilfe für die zeitlich vorausgegangenen Förderungshandlungen nicht zu begründen, weil der Vorsatz im Zeitpunkt der Hilfeleistung vorliegen muss.
So entsteht eine paradoxe Konstellation: Setzten die Angeklagten das Hosting nach Kenntniserlangung fort, hätte dies durchaus eine strafbare Beihilfe begründen können – doch waren die konkret angeklagten Haupttaten in diesen Fällen meist schon abgeschlossen, oder es ließ sich kein individueller Tatbeitrag des einzelnen Angeklagten an gerade diesen Servern feststellen. Die Kenntnis kam stets zu spät für die Taten, auf die sie sich hätte beziehen müssen.
Eine Vereinigung trotz Freispruch von der Beihilfe
Der scheinbare Widerspruch zwischen Freispruch von der Beihilfe und Verurteilung nach § 129 StGB löst sich auf der Ebene der Zurechnung. Beihilfetaten können vereinigungsbezogene Straftaten sein, und selbst ein allein auf Beihilfe seiner Mitglieder gerichteter Zusammenschluss kann eine kriminelle Vereinigung bilden. Bezugspunkt waren dabei nicht das generelle Hosting, sondern jene Fälle, in denen das Konzept das Weiterhosten trotz positiver Kenntnis vorsah – erst dieses Element verschaffte den Beihilfetaten die nötige Konkretisierung.
Für die individuelle Strafbarkeit nach § 129 StGB kommt es nicht darauf an, ob das einzelne Mitglied selbst eine vereinigungsbezogene Tat begeht; es genügt der bedingte Vorsatz, dass die intendierte Begehung solcher Taten wesentlicher Bestandteil des Vereinigungszwecks ist. Tragend war ferner das übergeordnete gemeinsame Interesse: Das bloße individuelle Gewinnstreben hätte als bloße Parallelität von Einzelinteressen nicht genügt, wohl aber das ideologisch grundierte Ziel, Dritten einen staatsfreien Internetzugang zu verschaffen. Damit reiht sich das Urteil in eine Linie nicht-ideologischer Vereinigungen ein, die vom Hawala-Banking bis zu den falschen Polizeibeamten reicht und § 129 StGB zunehmend für die organisierte Internetkriminalität fruchtbar macht.
Strafbarkeitsdefizit in der Kritik der Wissenschaft
Der Senat lehnt es ausdrücklich ab, für Cyber-Straftaten die Anforderungen an die Vorsatzkonkretisierung abzusenken, und verweist die Pönalisierung des Internets an den Gesetzgeber – der mit dem neuen § 127 StGB (Betreiben krimineller Handelsplattformen im Internet) zum 1. Oktober 2021 reagiert hat. In den Materialien wird das durch die Beihilfedogmatik entstehende Strafbarkeitsdefizit ausdrücklich benannt; wegen des Rückwirkungsverbots war die Norm im Cyberbunker-Fall noch ohne Belang.
Hier setzt die wissenschaftliche Kritik an. Teile der Literatur monieren, das Festhalten an „Unrechtsgehalt und Angriffsrichtung“ stelle dogmatisch kaum begründbare Anforderungen und beschere Providern – pointiert formuliert – „schöne Zeiten“, weil die technisch vermittelte Distanz das Vorstellungsbild stets unscharf halte. Zugleich wird bezweifelt, ob § 127 StGB das Problem wirklich löst: Wer no-questions-asked-Plattformen über eigene Server hostet, weiß auch dort nicht, ob er eine auf Auftragstötungen oder eine auf Markenrechtsverletzungen ausgerichtete Plattform fördert – das Konkretisierungsproblem verschiebt sich lediglich um eine Ebene. Andere begrüßen die Entscheidung als kriminalpolitisch unbefriedigend, aber dogmatisch konsequent, und sehen das eigentliche Verdienst in der Abkehr vom Zueigenmachen.
Zivilrechtlicher Spiegel: subsidiäre Haftung statt Strafbarkeit
Erhellend wird die strafrechtliche Zurückhaltung im Vergleich mit dem zivilrechtlichen Umgang mit demselben Phänomen. Im Recht der Netzsperren behandelt der Bundesgerichtshof den Bulletproof-Hoster als typisches Merkmal strukturell rechtsverletzender, anonym betriebener Webseiten mit strafbarem Geschäftsmodell. Dort haftet der bloße Access-Provider nur subsidiär; der Rechteinhaber muss zunächst die verletzungsnäheren Beteiligten – Seitenbetreiber und Host-Provider – in zumutbarem Umfang in Anspruch nehmen, bevor eine DNS-Sperre als Ultima Ratio in Betracht kommt.
Der Kontrast ist aufschlussreich: Während das Zivilrecht den Host-Provider als „näher an der Rechtsgutsverletzung“ und damit vorrangig verantwortlich einordnet, verlangt das Strafrecht für dessen Verurteilung einen konkretisierten Vorsatz, der bei anonymem Massen-Hosting regelmäßig nicht nachweisbar ist. Dieselbe Anonymisierungsstrategie, die dem Geschädigten im Zivilprozess die Quelle verschließt, entzieht dem Strafrichter den Anknüpfungspunkt für den Gehilfenvorsatz – ein strukturelles Schutzdefizit, das beide Rechtsgebiete teilen und das letztlich nur der Gesetzgeber durch eigenständige Organisationsdelikte schließen kann.
Ausblick
Das Cyberbunker-Urteil zieht eine präzise Trennlinie: Ein Bulletproof-Hoster verlässt den Schutzbereich neutraler Handlungen und kann sich weder hinter § 10 TMG noch hinter dem Neutralitätsprivileg des Unionsrechts verstecken, doch die Beihilfe zu einer konkreten fremden Tat setzt unverändert voraus, dass der Gehilfe diese Tat in ihren wesentlichen Zügen im Zeitpunkt seiner Förderung zumindest bedingt vorsätzlich erfasst. Das kalkulierte Wegsehen, die bewusste Gleichgültigkeit gegenüber der konkreten Nutzung, entlastet den Anbieter paradoxerweise dort, wo sein Geschäftsmodell am verwerflichsten erscheint. Die Lücke schließt nicht die Auslegung, sondern allein das Gesetz – ein Befund, der die Grenzen der Beihilfedogmatik im digitalen Raum schärfer beleuchtet als jede dogmatische Akrobatik und der zugleich erklärt, warum sich der Schwerpunkt der Verfolgung solcher Strukturen vom Teilnahme- zum Organisationsstrafrecht verlagert.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.