Bulletproof-Hosting als kriminelle Vereinigung: Der BGH zum „Cyberbunker“

In seinem Urteil vom 12. September 2023 hat der Bundesgerichtshof die strafrechtliche Bewertung des berüchtigt gewordenen „Cyberbunkers“ als sogenannter „Bulletproof-Hoster“ grundlegend geklärt. Der BGH bestätigte dabei im Wesentlichen die Verurteilung der Betreiber wegen mitgliedschaftlicher Beteiligung an einer kriminellen Vereinigung nach § 129 StGB, lehnte jedoch eine Strafbarkeit wegen Beihilfe zu den über die Infrastruktur begangenen Straftaten ab.

Für Betreiber digitaler Plattformen und IT-Dienstleister ist diese Entscheidung ein deutliches Signal. Sie müssen sich der strafrechtlichen Risiken bewusst sein, die mit der aktiven Unterstützung krimineller Nutzer verbunden sind. Dr. Maik Bunzel, Fachanwalt für Strafrecht, Verkehrsrecht und zertifizierter Berater für Steuerstrafrecht, berät Unternehmen und Einzelpersonen zu Risiken beim Betrieb und der Nutzung digitaler Infrastrukturen.

Der Fall: Ein Bunker, Tausende Straftaten

Im Zentrum stand ein Rechenzentrum in einem ehemaligen NATO-Bunker in Rheinland-Pfalz. Dort betrieben die Angeklagten eine Infrastruktur, die insbesondere Anonymität und Schutz vor staatlichem Zugriff garantieren sollte. Kunden konnten Server anmieten, um Online-Shops für Drogen, Falschgeld oder andere illegale Geschäfte zu betreiben. Das Prinzip: „stay online, no matter what!“

Nach Feststellungen des Landgerichts Trier wurden über 239.000 Straftaten unter Nutzung dieser Infrastruktur begangen. Die Angeklagten hatten dabei unterschiedliche Rollen – von Technik bis Management – und arbeiteten arbeitsteilig an einem gemeinsamen Ziel.

Keine Beihilfe mangels Täterkenntnis

Die Anklage wegen Beihilfe zu konkreten Straftaten wurde abgelehnt, weil es den Angeklagten an Kenntnis über die jeweiligen Haupttäter und deren Taten fehlte. Der BGH stellt klar: Für Beihilfe reicht bloßer „Generalverdacht“ nicht. Notwendig ist jedenfalls eine konkrete Vorstellung über Art und Unrechtsgehalt der geförderten Tat.

Diese restriktive Linie betont die Bedeutung der subjektiven Tatseite für die Teilnahme am Straftatbestand und verhindert eine überdehnte Haftung auf bloßer Verdachtsbasis.

Kriminelle Vereinigung statt Beihilfe

Dafür bestätigte der BGH die Annahme einer kriminellen Vereinigung. Entscheidend: Die Struktur war auf Dauer angelegt, arbeitsteilig organisiert, technisch hochgerüstet und zielgerichtet auf die Unterstützung krimineller Online-Aktivitäten. Allein die tatsächlich unterbundene staatliche Kontrolle – etwa durch Missbrauchsmeldungen, die ignoriert oder verschleiert wurden – belegt das kriminelle „Kerngeschäft“ der Gruppierung.

Ein individuelles Gewinninteresse der Beteiligten reicht nicht aus, um das Tatbestandsmerkmal „übergeordnetes gemeinsames Interesse“ zu ersetzen. Erst das strukturelle Zusammenspiel und die technische Gestaltung des Angebots lassen auf eine kriminelle Gesamtorganisation schließen.

Keine Privilegierung durch medienrechtliche Vorschriften

Wichtig: Die Grundsätze zur Haftungsprivilegierung aus dem Digitalen-Dienste-Gesetz (ehemals TMG) greifen nicht. Zwar handelt es sich beim Cyberbunker formell um einen Diensteanbieter, doch die aktive Unterstützung krimineller Inhalte durch Verschleierung und „Stay-Online-Policy“ geht über ein neutrales Hosting hinaus. Die Speicherleistung wurde gezielt und wissentlich zur Durchführung von Straftaten angeboten.

Ein Hosting-Modell, das allein auf Datenschutz und Anonymität zielt, kann nicht durch Haftungsprivilegien geschützt sein, wenn damit systematisch der Schutz staatlicher Rechtsgüter ausgehebelt wird.

Einziehung: Weitreichend und umfassend

Der BGH stellt klar: Die Einziehung nach § 73 StGB betrifft sämtliche Einnahmen aus dem kriminellen Betrieb, nicht nur solche aus klar strafbaren Kundenaktivitäten. Auch Server, die für legale Zwecke genutzt wurden, sind erfasst, da sie Teil des kriminellen Betriebsmodells waren.

Tatmittel sind sämtliche für den Rechenzentrumsbetrieb eingesetzten Gegenstände. Das Gericht muss selbst über Umfang und Gegenstand der Einziehung entscheiden, eine Mitwirkungspflicht der Staatsanwaltschaft besteht nicht. Bei kryptowährungsbasierten Zahlungsflüssen kommt es allein auf die faktische Verfügungsmacht an, nicht auf formale Besitzverhältnisse.

Fazit: IT-Dienstleister im Fokus der Strafverfolgung

Die Entscheidung ist ein Wendepunkt im Umgang mit sog. „Bulletproof Hosting“. Wer IT-Infrastruktur anbietet, muss sicherstellen, nicht Teil einer kriminellen Gesamtstruktur zu werden. Strafbarkeit kann auch ohne konkrete Kenntnis einzelner Taten vorliegen, wenn das Geschäftsmodell objektiv auf die Förderung schwerer Straftaten ausgerichtet ist.

Dr. Maik Bunzel berät Betreiber digitaler Plattformen, Hosting-Dienstleister und Beschuldigte im Bereich Cybercrime umfassend zu strafrechtlichen Risiken und Verteidigungsstrategien. Wenn Sie in ein Ermittlungsverfahren im Kontext digitaler Infrastrukturen geraten sind, nutzen Sie das Kontaktformular auf strafverteidiger-cottbus.de – diskret, kompetent und engagiert.