Anwalt für Haftung von Webhostern, Hostprovidern, DNS- und CDN-Anbietern bei Betrug und Phishing

Ob ein technischer Anbieter für eine Betrugsseite verantwortlich gemacht werden kann, hängt stark von seiner konkreten Funktion ab. Webhosting, DNS, CDN und Reverse Proxy dürfen deshalb nicht in einen Topf geworfen werden.

Von Max N. M. Hortmann, Rechtsanwalt | HORTMANN LAW | Schwerpunkt: Providerhaftung, DSA/DDG und Cybercrime-Infrastruktur | Stand: April 2026

Bei Betrugsseiten und Phishing-Kampagnen tauchen häufig dieselben technischen Akteure auf: Webhoster, Hostprovider, DNS-Resolver, Nameserver, CDN-Anbieter, Reverse-Proxies und DDoS-Schutzdienste. Für Betroffene sehen diese Anbieter oft ähnlich aus. Juristisch macht ihre genaue Rolle aber einen erheblichen Unterschied.

Ein Webhoster speichert typischerweise Inhalte. Ein DNS-Dienst übersetzt Domainnamen in IP-Adressen. Ein CDN kann Inhalte zwischenspeichern, ausliefern, absichern oder den tatsächlichen Host nach außen verdecken. Diese Unterschiede bestimmen, ob Hosting-Privileg, Durchleitungsprivileg, Caching-Privileg oder eine eigenständige Störerhaftung in Betracht kommt.

Dieser Beitrag erklärt, wie Webhoster, DNS- und CDN-Anbieter bei Betrug, Phishing, Fake-Shops und Fake-Investmentseiten einzuordnen sind und welche Maßnahmen gegen sie realistisch geprüft werden können.

Kurz gefasst

Webhoster haften regelmäßig nicht automatisch für betrügerische Seiten ihrer Kunden. Nach einer konkreten und belegten Meldung kann aber eine Pflicht zur Sperrung oder Entfernung entstehen. DNS-Resolver und accessnahe Dienste sind stärker privilegiert, weil sie meist nur technisch vermitteln. CDN- und Reverse-Proxy-Anbieter können dagegen stärker in die Rechtsverletzung eingebunden sein, wenn sie Inhalte spiegeln, Zugriffe steuern oder den eigentlichen Host abschirmen. Für Geschädigte entscheidet deshalb nicht der Name des Anbieters, sondern seine technische Funktion im konkreten Fall.

Warum die technische Rolle über die Haftung entscheidet

Die zentrale Frage lautet nicht: „Ist der Anbieter irgendwie beteiligt?“ Entscheidend ist: Welche technische Leistung erbringt er genau?

Ein Hostprovider stellt Speicherplatz oder Serverinfrastruktur bereit. Ein DNS-Resolver löst Domainnamen auf. Ein autoritativer Nameserver ist Teil der Domainauflösung. Ein CDN kann Inhalte auf eigenen Servern zwischenspeichern oder ausliefern. Ein Reverse Proxy kann den eigentlichen Server verdecken und Anfragen stellvertretend entgegennehmen. Ein DDoS-Schutzdienst kann den Zugriff auf die eigentliche Infrastruktur abschirmen.

Diese Unterschiede sind haftungsrechtlich entscheidend. Wer Inhalte speichert, ist näher am rechtswidrigen Inhalt als ein Dienst, der nur den Zugang vermittelt. Wer den eigentlichen Host abschirmt, kann eine stärkere Kontrollposition haben als ein neutraler DNS-Resolver. Wer Inhalte spiegelt oder ausliefert, steht näher an der Rechtsverletzung als ein Anbieter, der nur automatisiert Domainnamen auflöst.

Deshalb muss vor jeder anwaltlichen Maßnahme eine technische Rollenklärung stehen.

Webhoster: Der wichtigste erste Ansatzpunkt bei Betrugsseiten

Der Webhoster ist häufig der naheliegendste Gegner, wenn eine Betrugsseite online ist. Er speichert die Website oder stellt die Serverumgebung bereit, über die Inhalte abrufbar sind. Nach Art. 6 DSA ist ein Hosting-Dienst grundsätzlich haftungsprivilegiert, solange er keine tatsächliche Kenntnis von konkreten rechtswidrigen Inhalten hat und nach Kenntnis zügig tätig wird.

Das bedeutet: Der Hoster muss nicht jeden Kunden vorsorglich überwachen. Er muss aber reagieren, wenn ihm eine konkrete Betrugsseite mit nachvollziehbaren Belegen gemeldet wird.

Bei Phishing-Seiten, Fake-Shops oder Identitätsmissbrauch kann die Rechtswidrigkeit oft klar dargestellt werden. Bei Anlagebetrug oder Krypto-Betrug ist die Begründung anspruchsvoller. Dort muss herausgearbeitet werden, warum die Plattform betrügerisch ist: falsche Regulierung, erfundene Gesellschaft, manipulierte Gewinne, Auszahlungsverweigerung, Nachschussforderungen, gefälschte Ansprechpartner, Wallet-Zahlungen oder Identitätsmissbrauch.

Eine gute Notice an den Hoster sollte deshalb nicht nur behaupten, dass die Seite betrügerisch ist. Sie muss zeigen, weshalb der Hoster nach Zugang der Meldung nicht mehr neutral wegsehen kann.

Was eine Notice an den Hostprovider leisten muss

Eine Notice an den Hostprovider muss konkret genug sein, um Kenntnis auszulösen. Sie sollte die Domain, exakte URLs, Screenshots, Abrufzeitpunkte, Beschreibung der Täuschung, Zahlungsaufforderungen, Kommunikationsnachweise und die konkrete Rechtsverletzung enthalten.

Hinzu kommen die verlangten Maßnahmen. Das kann die Sperrung der Website, die Entfernung bestimmter Inhalte, die Deaktivierung eines Kundenaccounts, die Sicherung von Logs oder die Weiterleitung an die Abuse- beziehungsweise Compliance-Abteilung sein.

Wichtig ist auch, dass die Notice später beweisbar ist. Sie dient nicht nur dazu, den Provider zur Reaktion zu bewegen. Sie kann später belegen, dass der Anbieter konkrete Kenntnis hatte und trotzdem nicht angemessen reagiert hat.

DNS-Resolver: Warum die Inanspruchnahme schwieriger ist

DNS-Resolver lösen Domainnamen in IP-Adressen auf. Sie speichern nicht den Inhalt der Betrugsseite und betreiben regelmäßig nicht die Website. Ihre technische Rolle ist deshalb näher an der Durchleitung als am Hosting.

Das führt zu einer stärkeren Privilegierung. DNS-Sperren oder Ansprüche gegen DNS-Resolver kommen regelmäßig nur unter strengeren Voraussetzungen in Betracht. Häufig muss geprüft werden, ob zunächst der Betreiber, Hostprovider oder Registrar adressiert werden kann. Außerdem muss die Rechtsverletzung klar erkennbar sein und die Sperre muss verhältnismäßig bleiben.

Für Betrugsfälle bedeutet das: DNS-Resolver sind meist nicht der erste Hebel. Sie können aber relevant werden, wenn andere Beteiligte nicht erreichbar sind, die Rechtsverletzung offenkundig ist und die Domain weit überwiegend rechtswidrig genutzt wird.

Nameserver und Domainauflösung: Technische Nähe kann entscheidend sein

Nicht jeder DNS-nahe Dienst ist gleich. Ein öffentlicher DNS-Resolver, ein autoritativer Nameserver, ein Registrar und ein CDN-Anbieter mit Nameserver-Funktion können unterschiedliche Rollen haben.

Relevant wird das insbesondere bei Konstellationen, in denen ein Anbieter nach außen als Nameserver erscheint und zugleich den tatsächlichen Host verschleiert oder abschirmt. Dann kann die technische Nähe zur Rechtsverletzung größer sein als bei einem rein neutralen Resolver.

Für anwaltliche Schreiben bedeutet das: Es sollte genau dargestellt werden, welche DNS- oder Nameserver-Rolle der Anbieter hat. Pauschale Begriffe wie „DNS-Provider“ reichen nicht aus. Besser ist eine technische Beschreibung anhand von Domainabfragen, Nameserver-Einträgen, IP-Auflösung, HTTP-Headern und CDN-Indizien.

CDN und Reverse Proxy: Zwischen neutraler Beschleunigung und haftungsrelevanter Abschirmung

CDN-Anbieter werden oft eingesetzt, um Websites schneller und stabiler auszuliefern. Das ist für sich genommen neutral. Problematisch wird es, wenn ein CDN oder Reverse Proxy den eigentlichen Host verdeckt, Anfragen kontrolliert, Inhalte spiegelt oder die Erreichbarkeit einer Betrugsseite absichert.

Dann ist zu prüfen, ob der Anbieter noch als neutraler Zwischenspeicher oder bereits als stärker eingebundener technischer Mitwirkender erscheint. Gerade bei betrügerischen Websites kann diese Unterscheidung entscheidend sein.

Wenn der CDN-Anbieter der einzige erreichbare technische Ansprechpartner ist und der eigentliche Hoster gerade durch die CDN-Struktur verborgen bleibt, kann eine unmittelbare Inanspruchnahme näherliegen. Das gilt besonders, wenn der Anbieter nach einer qualifizierten Notice nicht reagiert.

Cloudflare-ähnliche Konstellationen: Wenn der tatsächliche Host verborgen bleibt

In der Praxis spielen Cloudflare-ähnliche Konstellationen eine besondere Rolle. Gemeint sind Fälle, in denen ein Dienst Nameserver, CDN, Reverse Proxy und Schutzfunktionen kombiniert und dadurch verhindert, dass der eigentliche Host ohne Weiteres sichtbar wird.

Für Geschädigte kann das frustrierend sein: Die Domain ist erreichbar, die Website ist online, aber der tatsächliche Server bleibt verborgen. Genau dann muss geprüft werden, ob der zwischengeschaltete Anbieter nur neutral vermittelt oder ob er faktisch eine Abschirmungs- und Kontrollfunktion übernimmt.

Je stärker der Dienst die Ermittlung des eigentlichen Hosters erschwert und zugleich die Erreichbarkeit der Betrugsseite sicherstellt, desto eher kann seine eigene Verantwortlichkeit relevant werden. Die Argumentation muss aber technisch sauber erfolgen.

Betrug, Phishing und Fake-Websites: Wann Rechtswidrigkeit offensichtlich sein kann

Bei Phishing-Seiten ist die Rechtswidrigkeit häufig evident. Wenn eine Seite Login-Daten, Bankdaten, Ausweisdokumente, Seed Phrases oder Zahlungsinformationen unter falschem Namen abgreift, liegt eine klare Missbrauchsstruktur nahe.

Bei Fake-Shops kann die Offenkundigkeit aus kopierten Impressen, nicht existenten Unternehmen, fehlender Lieferung, betrügerischen Zahlungsdaten, massenhaften Beschwerden oder widersprüchlichen Kontaktangaben folgen.

Bei Anlagebetrug und Krypto-Betrug ist die Lage oft komplexer. Eine Plattform kann professionell wirken, angebliche Lizenzen anzeigen und täuschend echte Dashboards bereitstellen. Hier muss die Rechtswidrigkeit aus dem Gesamtbild entwickelt werden: falsche Regulierung, erfundene Gewinne, verweigerte Auszahlungen, Nachforderungen, falsche Steuer- oder AML-Gebühren, manipulierte Kommunikation und technische Zahlungswege.

Unterlassung, Sperrung und Beseitigung

Gegen Hostprovider kommen insbesondere Sperrung und Löschung der konkreten Inhalte in Betracht. Gegen CDN- oder Reverse-Proxy-Anbieter kann eine Sperrung des Zugangs oder eine Deaktivierung der Dienstleistung geprüft werden. Gegen DNS-nahe Dienste kann in Ausnahmefällen eine DNS-Sperre relevant werden.

Juristisch geht es häufig um Unterlassungs- und Beseitigungsansprüche. Die Störerhaftung setzt voraus, dass der Anbieter willentlich und adäquat-kausal zur Rechtsverletzung beiträgt und zumutbare Prüf- oder Handlungspflichten verletzt.

Bei Hosting ist die Schwelle nach konkretem Hinweis niedriger als bei rein accessnahen Diensten. Bei DNS-Resolvern, Access-Providern oder sehr inhaltsfernen Diensten sind die Anforderungen an Subsidiarität und Zumutbarkeit höher. Bei CDN- und Reverse-Proxy-Diensten hängt viel davon ab, wie aktiv die technische Rolle im konkreten Fall ist.

Schadensersatz gegen Hostprovider, DNS oder CDN

Schadensersatz ist nicht der Regelfall. Reine Störerhaftung führt regelmäßig nur zu Unterlassung und Beseitigung, nicht automatisch zu Geldersatz.

Für Schadensersatz braucht es mehr: eine eigene deliktische Pflichtverletzung, vorsätzliches oder fahrlässiges Verhalten in einem haftungsrelevanten Pflichtenkreis, Teilnahme an einer Haupttat oder besondere Umstände, die eine Verkehrspflichtverletzung begründen.

Bei normalen Hostprovidern ist das schwer, aber nicht ausgeschlossen. Je klarer die Hinweise waren, je schwerer der Betrug, je länger die Untätigkeit und je stärker der Provider die Fortsetzung der Rechtsverletzung ermöglicht hat, desto eher wird eine vertiefte Prüfung sinnvoll.

Bei DNS- und CDN-Anbietern ist besonders genau zu prüfen, ob ihre Rolle bloß neutral war oder ob sie trotz klarer Kenntnis eine konkrete Betrugsinfrastruktur weiter abgesichert haben.

Strafrechtliche Beihilfe: Hohe Schwelle bei neutralen technischen Diensten

Strafrechtlich ist Zurückhaltung geboten. Ein Provider leistet nicht schon deshalb Beihilfe zu Betrug oder Phishing, weil Täter seine Dienste nutzen. Neutrale technische Dienstleistungen sind nicht ohne Weiteres strafbare Unterstützung.

Erforderlich wäre insbesondere Vorsatz hinsichtlich einer konkreten Haupttat. Allgemeines Wissen, dass ein Dienst auch missbraucht werden kann, genügt nicht. Relevant werden kann strafrechtliche Verantwortlichkeit eher bei besonderer Kenntnis, gezielter Förderung, bewusstem Wegsehen nach konkreten Hinweisen oder bei Geschäftsmodellen, die auf rechtswidrige Nutzung ausgerichtet sind.

Für die anwaltliche Praxis bedeutet das: Strafrechtliche Argumente sollten nicht inflationär verwendet werden. Sie können aber bei besonders evidenten Betrugs- oder Phishing-Strukturen flankierend wichtig sein.

Beweissicherung: Welche technischen Daten wichtig sind

Vor jeder Provideransprache sollten technische Daten gesichert werden. Dazu gehören Domain, Registrar, Nameserver, DNS-Auflösung, IP-Adressen, HTTP-Header, SSL-Zertifikate, CDN-Hinweise, Weiterleitungen, Screenshots, Zeitstempel, Zahlungsseiten, E-Mail-Header, Wallet-Adressen und Kommunikationsnachweise.

Diese Daten helfen, die Providerrolle zu bestimmen. Sie können außerdem belegen, dass ein bestimmter Anbieter überhaupt technisch beteiligt war. Ohne diese Grundlage laufen Schreiben an Hostprovider, DNS- oder CDN-Anbieter oft ins Leere.

Besonders wichtig ist die Sicherung vor einem Takedown. Wenn die Seite verschwindet, können auch technische Spuren verloren gehen.

Typische Verteidigungslinien von Hostern, DNS- und CDN-Anbietern

Hostprovider berufen sich häufig darauf, keine konkrete Kenntnis gehabt zu haben. DNS- und Access-nahe Dienste argumentieren meist mit ihrer neutralen Durchleitungsfunktion und fehlender Inhaltsnähe. CDN-Anbieter verweisen darauf, nur technische Beschleunigung oder Sicherheitsleistungen zu erbringen.

Weitere Einwände sind Datenschutz, Overblocking, fehlende Zuständigkeit, unzureichende Notice, keine allgemeine Überwachungspflicht und fehlende Zumutbarkeit.

Diese Verteidigungslinien müssen im Schreiben antizipiert werden. Es sollte deutlich werden, dass nicht allgemeine Überwachung verlangt wird, sondern eine konkrete Reaktion auf eine belegte Betrugsseite. Bei CDN- und Reverse-Proxy-Diensten sollte außerdem die besondere Abschirmungs- oder Kontrollfunktion herausgearbeitet werden.

Praktisches Vorgehen bei Hostprovider-, DNS- und CDN-Fällen

Zuerst sollte die technische Infrastruktur dokumentiert werden. Danach ist zu entscheiden, welcher Anbieter zuerst adressiert wird. Häufig beginnt man mit Hostprovider und Plattform. Wenn diese nicht greifbar sind oder durch CDN-Strukturen verborgen bleiben, können CDN- oder Nameserver-Anbieter stärker in den Fokus rücken. DNS-Sperren sind eher ein nachgelagerter Eskalationspunkt.

Parallel sollte geprüft werden, ob Strafanzeige, Preservation Letter, Zahlungsweg-Analyse oder gerichtliche Schritte sinnvoll sind. In laufenden Betrugsfällen kann Geschwindigkeit entscheidend sein.

Häufige Fragen

Ist ein CDN-Anbieter dasselbe wie ein Webhoster?

Nein. Ein CDN-Anbieter speichert oder verteilt Inhalte unter Umständen nur zwischengeschaltet. Er kann aber stärker verantwortlich werden, wenn er Inhalte ausliefert, den Zugriff kontrolliert oder den eigentlichen Host abschirmt.

Kann man eine DNS-Sperre gegen eine Betrugsseite verlangen?

Das kann in Ausnahmefällen geprüft werden. Die Anforderungen sind aber hoch. Relevant sind klare Rechtsverletzung, Subsidiarität, technische Eignung und Verhältnismäßigkeit.

Muss der Webhoster eine Betrugsseite sofort löschen?

Nicht automatisch. Nach einer konkreten und belegten Meldung muss er aber zügig prüfen und bei klarer Rechtsverletzung handeln.

Was ist bei Reverse-Proxy-Strukturen besonders wichtig?

Wichtig ist, ob der Dienst den eigentlichen Host verbirgt und zugleich die Erreichbarkeit der Betrugsseite sichert. Dann kann seine Rolle rechtlich relevanter sein als bei bloßer technischer Durchleitung.

Welche technischen Informationen sollte man sichern?

Wichtig sind Domain, Registrar, Nameserver, IP-Auflösung, HTTP-Header, CDN-Indizien, SSL-Zertifikate, Screenshots, URLs, Zahlungsseiten und E-Mail-Header.

Warum reicht eine allgemeine Abuse-Mail nicht?

Weil sie häufig keine haftungsrechtlich relevante Kenntnis auslöst. Der Anbieter muss konkret erkennen können, welche Seite betroffen ist und warum sie rechtswidrig ist.

Technische Rolle klären, bevor Maßnahmen ergriffen werden

Bei Betrug und Phishing über Websites entscheidet die technische Infrastruktur oft über die richtige Strategie. Wer Hostprovider, DNS, CDN, Reverse Proxy, Domain und Plattform nicht sauber trennt, adressiert schnell den falschen Gegner.

HORTMANN LAW prüft solche Fälle strukturiert: technische Infrastruktur erfassen, Providerrolle bestimmen, Beweise sichern, Notice vorbereiten, Daten sichern und Eskalationsmöglichkeiten rechtlich einordnen.

Weiterführende Themen

Zur übergeordneten Einordnung technischer Provider bei Cybercrime: Cybercrime & Strafrecht

Zur Verbindung von Plattform, Bank und Zahlungsdienstleister: Bank- & Plattformhaftung

Zur Aufarbeitung von Krypto-Zahlungswegen: Krypto-Betrug

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Pflichtlinks innerhalb der neuen Provider-Serie

• Anwalt für Providerhaftung bei Online-Betrug: Hoster, E-Mail-Provider, Domains, CDN und Plattformen
• Anwalt gegen Betrugsseiten im Internet: Sperrung, Löschung, Beweissicherung und Datenherausgabe
• Anwalt für E-Mail-Provider-Haftung bei Phishing, Betrug, Fake-Mails und Identitätsmissbrauch
• Anwalt für Domain-Registrar-Haftung bei Betrugsseiten, Fake-Shops und Cybercrime
• Anwalt für Online-Betrug über Websites, E-Mail-Adressen, Domains, Zahlungsdienste und Krypto-Exchanges
• Anwalt für Notice-and-Takedown, Beweissicherung und Datenherausgabe bei Betrugsseiten
• Anwalt für Plattform- und Providerhaftung bei Anlagebetrug, Trading-Betrug und Krypto-Betrug

Bestehende veröffentlichte Hortmann-Law-Artikel

• Plattforminformierter Betrug und Intermediärverantwortung
• Plattform-Verantwortung bei Krypto-Betrug: DeFi-Betreiber und DAOs
• Krypto-Betrug und Plattformhaftung
• Crypto.com, OpenPayd, Foris MT und Verantwortung bei Krypto-Betrug
• DORA & MiCA 2025: digitale Resilienz für Token & Krypto-Anbieter
• Krypto Betrug: Datenlecks auf Plattformen
• DSGVO-Auskunft im Spamfilter
• Datenauskunft nur mit Konzept
• Klage gegen Crypto.com & Co.
• Strafanzeige gegen Krypto-Plattformen

‍