Anwalt für E-Mail-Provider-Haftung bei Phishing, Betrug, Fake-Mails und Identitätsmissbrauch

E-Mail ist bei Online-Betrug häufig nicht nur Kommunikationsmittel, sondern Beweisspur. Wer E-Mail-Provider richtig adressieren will, muss zwischen Transport, Mailbox-Hosting, Accountmissbrauch, Fernmeldegeheimnis und Datenzugang unterscheiden.

Von Max N. M. Hortmann, Rechtsanwalt | HORTMANN LAW | Schwerpunkt: Phishing, E-Mail-Betrug, Cybercrime und Providerhaftung | Stand: April 2026

Phishing-Mails, Fake-Support, gefälschte Unternehmens-E-Mails, betrügerische Zahlungsaufforderungen und Identitätsmissbrauch laufen häufig über E-Mail-Adressen. Für Betroffene liegt deshalb der Gedanke nahe, sofort den E-Mail-Provider verantwortlich zu machen oder die Herausgabe von Daten zu verlangen.

Rechtlich ist die Lage komplizierter. E-Mail-Dienste sind nicht einfach wie normale Webhoster zu behandeln. Der reine Transport von E-Mails, gespeicherte Postfächer, Webmail-Funktionen, Accountregistrierung, Spamfilter, Abuse-Meldungen und Datenherausgabe sind unterschiedlich zu bewerten.

Dieser Beitrag erklärt, wann E-Mail-Provider bei Phishing und Betrug reagieren müssen, welche Grenzen Fernmeldegeheimnis, TKG, TDDDG und DSGVO setzen und wie Betroffene E-Mail-Spuren sinnvoll sichern und verwerten können.

Kurz gefasst

E-Mail-Provider haften nicht automatisch dafür, dass Täter ihre Dienste für Betrug oder Phishing nutzen. Beim reinen E-Mail-Transport steht die geschützte Kommunikation im Vordergrund. Beim gespeicherten Postfach können Hosting-Elemente hinzukommen. Nach konkreter Missbrauchsmeldung kann eine Account-Sperre oder Abuse-Maßnahme in Betracht kommen. Die unmittelbare Herausgabe von Bestands-, IP-, Login- oder Kommunikationsdaten an Private ist dagegen rechtlich häufig begrenzt. Umso wichtiger sind vollständige E-Mail-Header, technische Beweissicherung, gezielte Provideransprache und eine sauber aufgebaute Strafanzeige.

Warum E-Mail-Betrug besonders sorgfältig geprüft werden muss

E-Mail-Betrug wirkt nach außen oft banal: eine falsche Adresse, eine gefälschte Rechnung, ein Link zu einer Phishing-Seite oder eine betrügerische Zahlungsaufforderung. Tatsächlich können E-Mails aber der Schlüssel zur gesamten Betrugsstruktur sein.

Aus einer E-Mail können sich Domains, IP-Spuren, Reply-To-Adressen, Versandwege, kompromittierte Accounts, Phishing-Links, Zahlungsziele, Anhänge und technische Dienstleister ergeben. Gleichzeitig sind E-Mails durch das Fernmeldegeheimnis besonders geschützt. Das macht die Prüfung anspruchsvoll.

Die zentrale Frage lautet deshalb: Geht es um die Sperrung eines missbräuchlich genutzten Accounts? Um die Sicherung technischer Daten? Um Herausgabe an Strafverfolgungsbehörden? Um eine zivilrechtliche Providerhaftung? Oder um die Beweisführung gegenüber Banken, Plattformen oder Zahlungsdienstleistern?

E-Mail-Transport ist nicht dasselbe wie Mailbox-Hosting

Beim reinen E-Mail-Transport übermittelt der Provider Nachrichten technisch von einem Absender zu einem Empfänger. Diese Funktion ist eher access- oder durchleitungsnah. Der Anbieter kontrolliert nicht ohne Weiteres den Inhalt jeder Nachricht und darf wegen Fernmeldegeheimnis und Datenschutz auch nicht beliebig in Kommunikation eingreifen.

Anders kann es bei Mailbox-Hosting liegen. Dort speichert der Anbieter E-Mails, Anhänge und Accountdaten auf seinen Servern. Webmail-Oberflächen, gespeicherte Postfächer und serverseitige Accountfunktionen enthalten Hosting-Elemente. Trotzdem bleiben die besonderen Kommunikationsschutzregeln relevant.

Diese Unterscheidung ist entscheidend. Wer den E-Mail-Provider wie einen normalen Webhoster behandelt, übersieht häufig die Grenzen des Kommunikationsrechts. Wer ihn gar nicht adressiert, verliert aber möglicherweise wichtige Beweise.

Phishing-Mails: Welche Pflichten können entstehen?

Bei Phishing werden Empfänger getäuscht, um Zugangsdaten, Bankdaten, Kreditkartendaten, Ausweisdokumente, Seed Phrases oder Zahlungen zu erlangen. Die E-Mail dient dabei meist als Einstieg in die Betrugshandlung.

Ein E-Mail-Provider muss nicht jede E-Mail proaktiv kontrollieren. Wird ihm aber ein konkreter missbräuchlicher Account oder eine konkrete Phishing-Kampagne mit Belegen gemeldet, können Maßnahmen in Betracht kommen. Dazu gehören die Sperrung eines Accounts, die Deaktivierung bestimmter Funktionen, interne Abuse-Prüfung oder Sicherung relevanter Accountdaten.

Entscheidend ist die Qualität der Meldung. Eine pauschale Beschwerde über „Phishing“ reicht häufig nicht. Besser ist eine konkrete Darstellung mit vollständiger E-Mail, Headern, Links, Zielseiten, Screenshots, Zeitpunkten und Schadensbezug.

Fake-Mails und Identitätsmissbrauch

Bei Fake-Mails wird häufig der Name einer echten Person, eines Unternehmens, einer Bank, einer Kanzlei, eines Zahlungsdienstleisters oder einer Behörde missbraucht. Für Opfer ist oft schwer erkennbar, ob die Adresse echt, gefälscht oder nur ähnlich geschrieben ist.

Juristisch können Persönlichkeitsrecht, Unternehmenskennzeichen, Namensrecht, Betrug, Urkunden- oder Datenstraftaten und Datenschutzfragen berührt sein. Praktisch entscheidend ist aber zunächst die Beweissicherung.

Gesichert werden sollten die vollständige E-Mail, alle Header, Anhänge, Links, Zahlungsinformationen, Antwortadressen und die weitere Kommunikation. Gerade bei Business-E-Mail-Compromise, gefälschten Rechnungen oder angeblichen Zahlungsänderungen können Header und technische Versandwege entscheidend sein.

Account-Sperre: Wann kann sie verlangt werden?

Eine Account-Sperre kommt in Betracht, wenn ein konkreter E-Mail-Account nachweisbar für Betrug, Phishing, Erpressung, Identitätsmissbrauch oder sonstige rechtswidrige Zwecke verwendet wird. Der Provider muss dann prüfen, ob die Nutzung gegen Recht, Nutzungsbedingungen oder Abuse-Regeln verstößt.

Eine Sperre ist aber kein Automatismus. Der Anbieter muss den Vorwurf nachvollziehen können. Außerdem können Grundrechte, Vertragsrechte des Accountinhabers und Missbrauchsrisiken berücksichtigt werden. Eine Sperrung ohne ausreichende Grundlage kann wiederum rechtswidrig sein.

Deshalb sollte das Schreiben klar zwischen Verdacht, Belegen und verlangten Maßnahmen unterscheiden. Je evidenter der Missbrauch ist, desto eher ist eine kurzfristige Sperrung oder Einschränkung zumutbar.

Datenherausgabe an Private: Warum die Hürden hoch sind

Viele Geschädigte möchten vom E-Mail-Provider wissen, wer hinter einer Adresse steht. Das ist verständlich. Rechtlich ist die unmittelbare Herausgabe an Private aber häufig schwierig.

Bestandsdaten, IP-Adressen, Login-Zeitpunkte, Kommunikationsinhalte und Headerdaten unterliegen Datenschutzrecht und teilweise dem Fernmeldegeheimnis. Ohne klare gesetzliche Grundlage darf ein Provider solche Daten nicht einfach an Geschädigte weitergeben.

Aktuelle Rechtsprechung und Gesetzeslage zeigen zudem, dass E-Mail-Hosting-Dienste nicht ohne Weiteres in denselben privatrechtlichen Auskunftspflichten stehen wie andere digitale Dienste. Praktisch bedeutet das: Der Weg über Strafanzeige, behördliche Ermittlungsmaßnahmen und spätere Akteneinsicht ist oft wichtiger als ein unmittelbarer privater Auskunftsanspruch.

Preservation: Daten sichern, auch wenn sie nicht sofort herausgegeben werden

Auch wenn der Provider Daten nicht direkt herausgibt, kann eine Sicherungsaufforderung sinnvoll sein. Ein Preservation Letter soll verhindern, dass relevante Account-, Login- oder Missbrauchsdaten gelöscht werden, bevor Behörden handeln können.

Zu sichern sein können Registrierungsdaten, Accountdaten, Login-IP-Adressen, Zeitpunkte, Recovery-Adressen, verknüpfte Telefonnummern, Abuse-Historie, Versanddaten, technische Metadaten und Zahlungsinformationen des Accounts, soweit vorhanden und rechtlich zulässig.

Wichtig ist eine präzise Bezeichnung. Der Provider muss wissen, welcher Account, welche E-Mail-Adresse, welche Zeiträume und welche Vorgänge betroffen sind. Pauschale Aufforderungen zur Sicherung „aller Daten“ sind meist weniger wirksam.

Fernmeldegeheimnis, TKG, TDDDG und DSGVO

E-Mail-Kommunikation ist rechtlich besonders geschützt. Das Fernmeldegeheimnis schützt die Vertraulichkeit der Kommunikation. TKG, TDDDG und DSGVO begrenzen, wann Anbieter Kommunikationsdaten verarbeiten, herausgeben oder überwachen dürfen.

Diese Grenzen schützen nicht die Täter als solche. Sie schützen die Kommunikationsfreiheit insgesamt. Deshalb können Provider nicht einfach verpflichtet werden, alle E-Mails zu lesen, Inhalte pauschal zu überwachen oder Kommunikationsdaten ohne Rechtsgrundlage an Private zu geben.

Für Betroffene bedeutet das: Die Strategie muss sauber zwischen zulässiger Missbrauchsmeldung, Accountmaßnahmen, Datensicherung, behördlicher Herausgabe und eigener Beweisführung unterscheiden.

Strafanzeige bei Phishing und E-Mail-Betrug

Bei Phishing, Fake-Rechnungen, Identitätsmissbrauch und E-Mail-Betrug ist Strafanzeige häufig sinnvoll. Sie sollte aber technisch vorbereitet werden.

Eine gute Strafanzeige enthält nicht nur die Betrugsschilderung, sondern auch vollständige E-Mails, Header, Links, Zielseiten, Zahlungsdaten, IP- oder Providerhinweise, Namen missbrauchter Unternehmen, Zeitpunkte, Schadenssummen und Kommunikationsverläufe.

Wichtig ist, konkrete Ermittlungsansätze zu benennen: betroffener E-Mail-Provider, verwendete Domains, Phishing-Seiten, Zahlungsdienstleister, Bankverbindungen, Wallet-Adressen, Hosting-Provider und Plattformen. Je strukturierter die Anzeige, desto besser können Ermittlungsbehörden gezielt Daten sichern.

E-Mail-Provider und Website-Provider zusammendenken

E-Mail-Betrug endet selten bei der Mail. Häufig führt die E-Mail auf eine Phishing-Seite, zu einem Fake-Login, zu einer Zahlungsseite, zu einem Messenger-Kanal oder zu einer betrügerischen Plattform.

Deshalb sollte die Prüfung nicht beim E-Mail-Provider stehen bleiben. Aus der E-Mail ergeben sich oft weitere Angriffspunkte: Domain-Registrar, Hostprovider der Zielseite, CDN-Anbieter, Zahlungsdienstleister, Bank, Krypto-Exchange oder Werbeplattform.

Eine E-Mail ist also nicht nur Nachricht, sondern Einstieg in die Infrastrukturermittlung.

Beweisprogramm für Betroffene

Betroffene sollten die E-Mail nicht nur als Screenshot sichern. Ein Screenshot zeigt häufig nicht die technischen Informationen, die später wichtig sind.

Gesichert werden sollte die vollständige Original-E-Mail mit Headern. Wichtig sind außerdem alle Links, Zielseiten, Anhänge, Antwortadressen, Signaturen, Telefonnummern, Zahlungsinformationen, Chat-Fortsetzungen und nachgelagerte Websites.

Wenn Zahlungen erfolgt sind, gehören Kontoauszüge, Kreditkartenabrechnungen, Zahlungsdienstleister-Belege, Wallet-Adressen, Transaktions-Hashes und Kommunikation über Zahlungsanweisungen dazu.

Bei Identitätsmissbrauch sollten außerdem Nachweise zur echten Identität des Betroffenen oder des missbrauchten Unternehmens gesichert werden, damit der Missbrauch klar belegt werden kann.

Typische Fehler bei der Provideransprache

Ein häufiger Fehler besteht darin, nur den sichtbaren Absendernamen zu melden. Dieser kann gefälscht sein. Wichtig ist die tatsächliche technische Adresse und der Header.

Ein weiterer Fehler ist, nur die Löschung des Accounts zu verlangen, ohne vorher Beweise zu sichern. Wenn der Account verschwindet, können Ermittlungsansätze verloren gehen.

Auch zu weitgehende Datenforderungen können problematisch sein. Wer vom Provider sofort „alle Daten des Täters“ verlangt, stößt schnell auf Datenschutz und Fernmeldegeheimnis. Besser ist eine gestufte Ansprache: Missbrauch anzeigen, Accountmaßnahmen verlangen, Daten sichern lassen und behördliche Herausgabe ermöglichen.

Häufige Fragen

Haftet ein E-Mail-Provider automatisch für Phishing-Mails?

Nein. Ein E-Mail-Provider haftet nicht automatisch dafür, dass Täter E-Mail für Betrug nutzen. Relevant wird seine Verantwortung vor allem nach konkreter Kenntnis und bei zumutbaren Maßnahmen gegen einen bestimmten missbräuchlichen Account.

Kann ich vom E-Mail-Provider die Daten des Täters verlangen?

Direkte private Auskunft ist häufig schwierig. Datenschutz, Fernmeldegeheimnis und spezialgesetzliche Grenzen stehen dem oft entgegen. Häufig ist der Weg über Strafanzeige und behördliche Ermittlungen realistischer.

Was ist bei einer Phishing-Mail der wichtigste Beweis?

Die vollständige Original-E-Mail mit Headern ist besonders wichtig. Screenshots allein reichen häufig nicht, weil sie technische Versandinformationen nicht vollständig zeigen.

Kann ein betrügerischer E-Mail-Account gesperrt werden?

Ja, wenn der Missbrauch konkret belegt ist, kann eine Sperre oder Einschränkung des Accounts in Betracht kommen. Die Meldung muss aber präzise und nachvollziehbar sein.

Sollte man zuerst den E-Mail-Provider oder die Polizei kontaktieren?

Das hängt vom Fall ab. Häufig ist beides sinnvoll: Provider zur Sperrung und Sicherung adressieren, Strafanzeige zur Ermittlung und Datenherausgabe vorbereiten.

Was bringt ein Preservation Letter beim E-Mail-Provider?

Er fordert den Provider auf, relevante Daten zu sichern, damit sie nicht gelöscht werden, bevor Ermittlungsbehörden oder Gerichte tätig werden können.

E-Mail-Betrug nicht nur melden, sondern technisch sichern

Bei Phishing, Fake-Mails und Identitätsmissbrauch entscheidet oft die Qualität der ersten Beweissicherung. Wer nur einen Screenshot hat, verliert wichtige technische Spuren. Wer Provider, Zielseite, Zahlungsweg und E-Mail-Header gemeinsam auswertet, kann deutlich gezielter vorgehen.

HORTMANN LAW unterstützt bei der strukturierten Prüfung von E-Mail-Betrug: E-Mail-Spuren sichern, Providerrolle einordnen, Missbrauchsmeldung vorbereiten, Strafanzeige strukturieren und weitere technische oder wirtschaftliche Angriffspunkte identifizieren.

Weiterführende Themen

Zur allgemeinen Aufarbeitung digitaler Betrugsfälle: Cybercrime & Strafrecht

Zur Prüfung von Krypto-Zahlungen und Wallet-Spuren: Krypto-Betrug

Zur Verbindung von Plattformen, Banken und Zahlungsdienstleistern: Bank- & Plattformhaftung

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Pflichtlinks innerhalb der neuen Provider-Serie

• Anwalt für Providerhaftung bei Online-Betrug: Hoster, E-Mail-Provider, Domains, CDN und Plattformen
• Anwalt gegen Betrugsseiten im Internet: Sperrung, Löschung, Beweissicherung und Datenherausgabe
• Anwalt für Haftung von Webhostern, Hostprovidern, DNS- und CDN-Anbietern bei Betrug und Phishing
• Anwalt für Domain-Registrar-Haftung bei Betrugsseiten, Fake-Shops und Cybercrime
• Anwalt für Online-Betrug über Websites, E-Mail-Adressen, Domains, Zahlungsdienste und Krypto-Exchanges
• Anwalt für Notice-and-Takedown, Beweissicherung und Datenherausgabe bei Betrugsseiten
• Anwalt für Plattform- und Providerhaftung bei Anlagebetrug, Trading-Betrug und Krypto-Betrug

Bestehende veröffentlichte Hortmann-Law-Artikel

• Phishing Betrug: Anwalt bei Fake-Support und Online-Täuschung
• Phishing & Cybercrime: digitale Spuren sichern
• Krypto Betrug & Phishing: Fake Support, Spoofing, Trade Republic, Crypto.com
• Crypto.com Datenleck & Phishing
• Krypto Konto gehackt: Login, Datenleck oder Phishing
• Krypto Wallet leer: Betrug, Phishing oder Hack
• Autorisierte Zahlung bei Krypto Betrug: PushTAN, Phishing, Spoofing
• Warnpflicht der Bank bei Betrug 2026
• Krypto-Address-Hijacking
• DSGVO-Auskunft im Spamfilter