Anwalt für Notice-and-Takedown, Beweissicherung und Datenherausgabe bei Betrugsseiten

Bei Betrugsseiten entscheidet oft nicht die erste Strafanzeige allein, sondern die erste präzise Provideransprache. Eine gute Notice kann Sperrung, Löschung, Beweissicherung und spätere Ermittlungen vorbereiten.

Von Max N. M. Hortmann, Rechtsanwalt | HORTMANN LAW | Schwerpunkt: Cybercrime, Providerhaftung und digitale Beweissicherung | Stand: April 2026

Wer eine Betrugsseite entdeckt oder bereits Geld verloren hat, möchte meist schnell handeln. Die Seite soll verschwinden, der Betreiber soll identifiziert werden, Zahlungswege sollen gestoppt werden und Beweise sollen erhalten bleiben. Genau hier entscheidet die Qualität der ersten Schritte.

Eine einfache Abuse-Meldung reicht häufig nicht. Provider reagieren oft nur, wenn die Meldung konkret genug ist: Welche URL ist betroffen? Welche Domain? Welcher Account? Welche Rechtsverletzung? Welche Belege? Welche Maßnahme wird verlangt? Ohne diese Struktur bleibt die Meldung schnell folgenlos.

Dieser Beitrag erklärt, wie Notice-and-Takedown bei Betrugsseiten funktioniert, welche Daten gesichert werden sollten, warum Datenherausgabe rechtlich schwierig sein kann und wie Provideransprache, Preservation Letter, Strafanzeige und gerichtliche Maßnahmen sinnvoll zusammengedacht werden.

Kurz gefasst

Eine Notice-and-Takedown-Meldung soll den Provider konkret in Kenntnis setzen und eine Reaktion auslösen. Sie muss die rechtswidrige Nutzung so genau beschreiben, dass der Anbieter die betroffenen Inhalte auffinden und die Rechtsverletzung nachvollziehen kann. Bei Betrugsseiten gehören dazu konkrete URLs, Domains, Screenshots, Zahlungsaufforderungen, E-Mails, Wallet-Adressen, Bankdaten, Chatverläufe und eine klare Darstellung der Täuschung. Parallel sollte geprüft werden, welche Daten gesichert werden müssen: Registrierungsdaten, Accountdaten, IP-Adressen, Login-Zeitpunkte, Serverlogs, Zahlungsmetadaten und Abuse-Historie. Die Herausgabe dieser Daten an Private ist nicht immer möglich; ihre frühzeitige Sicherung kann aber entscheidend sein.

Warum Notice-and-Takedown bei Betrugsseiten so wichtig ist

Provider haften nicht automatisch dafür, dass Dritte ihre Infrastruktur missbrauchen. Nach dem DSA und dem DDG kommt es insbesondere darauf an, ob der Anbieter konkrete Kenntnis von rechtswidrigen Inhalten oder rechtswidriger Nutzung hatte und nach Kenntnis zügig reagiert hat.

Die Notice ist deshalb mehr als eine Beschwerde. Sie ist der haftungsrechtliche Kenntnisanker. Sie dokumentiert, wann welcher Provider auf welche konkrete Rechtsverletzung hingewiesen wurde. Wenn der Anbieter danach nicht reagiert, kann dies für Unterlassung, Beseitigung, Sperrung, weitere Eskalation und in besonderen Fällen auch für weitergehende Haftungsfragen relevant werden.

Bei Betrugsseiten ist das besonders wichtig, weil der sichtbare Täter häufig nicht greifbar ist. Provider, Registrare, Plattformen, Zahlungsdienstleister oder E-Mail-Anbieter sind dagegen oft real existierende und erreichbare Stellen.

Eine pauschale Abuse-Meldung genügt meistens nicht

Viele Betroffene schreiben an einen Provider sinngemäß: „Diese Website ist Betrug, bitte löschen.“ Das ist verständlich, aber häufig zu schwach.

Ein Provider muss die beanstandeten Inhalte lokalisieren können. Er muss außerdem erkennen können, warum die Nutzung rechtswidrig ist. Gerade bei komplexem Online-Anlagebetrug oder Krypto-Betrug ist die Rechtswidrigkeit nicht immer mit einem Blick sichtbar. Eine professionell gestaltete Plattform kann nach außen seriös wirken, obwohl im Hintergrund manipulierte Dashboards, Auszahlungsverweigerungen und Nachschussforderungen eingesetzt werden.

Deshalb muss die Notice die Täuschungsstruktur sichtbar machen. Es reicht nicht, das Ergebnis zu behaupten. Der Provider muss anhand der beigefügten Belege verstehen können, warum eine konkrete Seite, ein Account oder eine Domain Teil einer Betrugsstruktur ist.

Was eine gute Notice enthalten sollte

Eine gute Notice beginnt mit der klaren Identifikation der betroffenen Infrastruktur. Dazu gehören Domain, konkrete URLs, gegebenenfalls Subdomains, Accounts, Profilseiten, E-Mail-Adressen, Zahlungsseiten und sonstige technische Kennzeichen.

Danach folgt die Sachverhaltsdarstellung. Diese sollte kurz, aber präzise sein: Welche Täuschung liegt vor? Wie wurde das Opfer kontaktiert? Welche Seite wurde genutzt? Welche Zahlungen wurden verlangt? Welche Angaben waren falsch? Welche Schäden sind eingetreten?

Anschließend müssen die Belege benannt werden. Dazu gehören Screenshots, E-Mails, vollständige Header, Chatverläufe, Zahlungsbelege, Wallet-Adressen, Transaktions-Hashes, Bankdaten, gefälschte Lizenzangaben, falsche Unternehmensdaten und Nachweise zu Identitätsmissbrauch.

Am Ende muss klar formuliert werden, was verlangt wird: Sperrung, Löschung, Account-Deaktivierung, Dekonnektierung, Weiterleitung an Abuse oder Compliance, Sicherung bestimmter Daten und Bestätigung der Maßnahmen.

Notice nach Art. 16 DSA: Warum Konkretisierung entscheidend ist

Art. 16 DSA verlangt ein Melde- und Abhilfeverfahren für Hostingdienste. Praktisch bedeutet das: Meldungen müssen so ausgestaltet sein, dass ein sorgfältig handelnder Anbieter erkennen kann, worum es geht.

Bei Betrugsseiten sollte die Notice deshalb eine hinreichend begründete Erläuterung enthalten, warum die Informationen rechtswidrig sind. Außerdem müssen die elektronischen Fundstellen genau bezeichnet werden. Eine genaue URL ist deutlich stärker als eine allgemeine Domainangabe. Wenn mehrere Unterseiten betroffen sind, sollten diese einzeln aufgeführt oder zumindest systematisch beschrieben werden.

Die Notice sollte zudem Kontaktdaten und eine Versicherung enthalten, dass die Angaben richtig und vollständig sind. Das ist nicht nur formal sinnvoll, sondern erhöht die Verwertbarkeit der Meldung.

Wann eine Betrugsseite offensichtlich rechtswidrig ist

Die Schwelle zur offensichtlichen Rechtswidrigkeit ist bei verschiedenen Betrugsformen unterschiedlich.

Bei Phishing liegt sie häufig nahe, wenn Zugangsdaten, Bankdaten, Kreditkartendaten, Ausweisdokumente oder Seed Phrases über eine gefälschte Seite abgegriffen werden.

Bei Fake-Shops können nicht existente Unternehmen, kopierte Impressen, falsche Kontaktdaten, fehlende Lieferung, betrügerische Zahlungsziele und massenhafte Beschwerden die Rechtswidrigkeit stützen.

Bei Identitätsmissbrauch kann die Rechtswidrigkeit aus der Nutzung eines echten Namens, Logos, Unternehmens, einer Kanzlei, Bank oder Behörde ohne Berechtigung folgen.

Bei Anlagebetrug, Trading-Betrug und Krypto-Betrug muss die Notice meist stärker arbeiten. Hier können falsche Regulierung, erfundene Gewinne, manipulierte Dashboards, Auszahlungsverweigerung, Nachschussforderungen, falsche Steuer- oder AML-Gebühren und Zahlungsanweisungen an Wallets oder Drittunternehmen entscheidend sein.

Takedown ist nicht dasselbe wie Beweissicherung

Ein häufiger Fehler besteht darin, sofort nur die Löschung zu verlangen. Das kann problematisch sein. Wenn die Seite verschwindet, können Beweise, technische Spuren und Ermittlungsansätze verloren gehen.

Deshalb sollte Takedown immer mit Beweissicherung zusammengedacht werden. Es kann sinnvoll sein, parallel zur Sperrung oder Löschung die Sicherung bestimmter Daten zu verlangen. Dazu gehören Registrierungsdaten, Accountdaten, IP-Adressen, Login-Zeitpunkte, Upload-Daten, Serverlogs, Zahlungsmetadaten, Abuse-Historie, verknüpfte Domains und interne Zuordnungen.

Die Reihenfolge ist wichtig. Erst sichern, dann sperren, soweit das praktisch möglich ist. Bei laufender Gefährdung kann eine sofortige Sperrung trotzdem Vorrang haben. Die Entscheidung hängt vom Einzelfall ab.

Preservation Letter: Datenverlust verhindern

Ein Preservation Letter ist eine Aufforderung an den Provider, bestimmte Daten nicht zu löschen oder zu überschreiben. Er ersetzt keine gerichtliche Anordnung und gibt dem Geschädigten nicht automatisch einen Anspruch auf Herausgabe. Er kann aber praktisch sehr wichtig sein.

Viele technische Daten werden nur kurz gespeichert. IP-Logs, Login-Daten, Serverzugriffe, Abuse-Tickets oder interne Zuordnungen können nach Tagen oder Wochen nicht mehr verfügbar sein.

Ein Preservation Letter sollte deshalb konkret sein. Er sollte nicht pauschal „alle Daten“ verlangen, sondern genau bezeichnen, welche Domain, welcher Account, welche E-Mail-Adresse, welcher Zeitraum, welche Zahlung, welche Wallet oder welche URL betroffen ist.

Datenherausgabe: Sicherung und Herausgabe sauber trennen

Viele Betroffene erwarten, dass ein Provider ihnen sofort Name, Adresse, IP-Adresse oder Zahlungsdaten des Täters herausgibt. Das ist rechtlich oft nicht so einfach.

Datenschutzrecht, Fernmeldegeheimnis, TKG, TDDDG und DSGVO können einer direkten Herausgabe an Private entgegenstehen. Besonders sensibel sind Kommunikationsdaten, E-Mail-Daten, Login-IP-Adressen und Verkehrsdaten.

Deshalb muss sauber unterschieden werden: Die Sicherung von Daten kann früh verlangt werden. Die Herausgabe kann eine andere Rechtsgrundlage benötigen. Häufig führt der Weg über Strafanzeige, Ermittlungsmaßnahmen, gerichtliche Anordnungen und spätere Akteneinsicht.

Diese Trennung sollte auch im Schreiben sichtbar werden. Wer sofort unzulässige Herausgabe verlangt, riskiert eine pauschale Ablehnung. Wer Sicherung, behördliche Herausgabe und spätere rechtliche Prüfung trennt, argumentiert präziser.

Welche Daten bei welchen Providern wichtig sind

Bei Hostprovidern sind insbesondere Accountdaten, Registrierungsdaten, Upload-Zeitpunkte, Serverlogs, IP-Adressen, Vertragsdaten, Zahlungsdaten und Abuse-Kommunikation relevant.

Bei Domain-Registraren geht es um Domaininhaber, Registrierungsdaten, Zahlungsdaten, Nameserver, Änderungsverlauf, Abuse-Historie und verknüpfte Domains.

Bei E-Mail-Providern sind E-Mail-Adresse, Accountdaten, Login-Zeitpunkte, IP-Adressen, Recovery-Daten, verknüpfte Telefonnummern, Versanddaten und Abuse-Meldungen relevant, soweit rechtlich zulässig.

Bei Plattformen können Profilinformationen, Anzeigen-IDs, interne Nachrichten, Zahlungsanbindungen, Login-Daten, Geräteinformationen, Verknüpfungen zu anderen Accounts und Moderationshistorie wichtig sein.

Bei Zahlungsdienstleistern, Banken und Krypto-Exchanges sind Kontoinhaber, KYC-Daten, Transaktionsdaten, Wallet-Zuordnungen, IP-Adressen, Geräteinformationen, Zahlungsreferenzen und Sperr- oder Compliance-Hinweise besonders relevant.

Notice und Strafanzeige müssen zusammenpassen

Eine Notice an Provider und eine Strafanzeige sollten nicht nebeneinanderstehen, als wären es zwei getrennte Fälle. Sie sollten dieselbe Struktur haben.

Die Strafanzeige sollte die in der Notice benannte Infrastruktur aufnehmen: Website, Domain, Host, Registrar, E-Mail, Zahlungsweg, Wallet, Plattform, Bank oder Exchange. Umgekehrt sollte die Notice aufzeigen, dass strafrechtliche Relevanz besteht und dass eine Sicherung für Ermittlungen erforderlich ist.

So entsteht eine konsistente Fallakte. Das hilft gegenüber Providern, Behörden, Banken, Zahlungsdienstleistern und später gegebenenfalls Gerichten.

Fristen: Wie schnell muss ein Provider reagieren?

Der DSA spricht bei Hostingdiensten davon, dass nach Kenntnis zügig gehandelt werden muss. Was das konkret bedeutet, hängt vom Fall ab.

Bei akuten Phishing-Seiten, laufenden Fake-Shops oder aktiven Betrugsplattformen können kurze Fristen gerechtfertigt sein, weil weitere Opfer drohen. Bei komplexeren Fällen kann eine etwas längere Prüfungsfrist sinnvoll sein, solange klar bleibt, dass der Provider die Sache priorisieren muss.

In anwaltlichen Schreiben sollte die Frist realistisch, aber bestimmt sein. Bei laufender Gefahr kann eine Frist von 24 bis 48 Stunden angemessen sein. Bei komplexeren Daten- oder Compliance-Fragen können getrennte Fristen sinnvoll sein: kurzfristige Sperrprüfung, gesonderte Bestätigung der Datensicherung, spätere Stellungnahme zur Datenherausgabe.

Eskalation bei Untätigkeit

Wenn ein Provider trotz konkreter Notice nicht reagiert, kommen weitere Schritte in Betracht. Dazu gehören erneute Fristsetzung, Einschaltung einer höheren Abuse- oder Compliance-Stelle, DSA-Beschwerde, gerichtliche Unterlassungs- oder Sperrmaßnahmen, Strafanzeige oder Ergänzung der Strafanzeige, Meldung an Zahlungsdienstleister oder Plattformen und gegebenenfalls Presse- oder Aufsichtswege, soweit rechtlich sinnvoll.

Welche Eskalation passt, hängt vom Anbieter und Ziel ab. Gegen Hostprovider geht es häufig um Sperrung oder Löschung. Gegen Registrare um Dekonnektierung. Gegen Plattformen um Entfernung von Profilen, Anzeigen oder Accounts. Gegen E-Mail-Provider um Accountmaßnahmen und Sicherung. Gegen Banken oder Exchanges um Zahlungsdaten, Sperren oder Compliance-Prüfung.

Verteidigungslinien der Provider antizipieren

Provider wenden häufig ein, sie hätten keine Kenntnis gehabt, die Notice sei unklar, die Rechtswidrigkeit sei nicht offensichtlich, Datenschutz stehe entgegen oder eine Maßnahme würde zu Overblocking führen.

Diese Einwände sollten schon im ersten Schreiben berücksichtigt werden. Die Notice sollte deshalb klarstellen, dass keine allgemeine Überwachung verlangt wird, sondern eine konkrete Reaktion auf eine bestimmte, belegte Betrugsinfrastruktur. Sie sollte außerdem erklären, warum die verlangte Maßnahme verhältnismäßig ist und warum mildere Mittel nicht ausreichen oder parallel geprüft werden.

Bei Registraren, DNS- und CDN-Anbietern sollte zusätzlich begründet werden, warum gerade dieser Anbieter adressiert wird. Bei E-Mail-Providern sollte die Trennung zwischen Sperrung, Sicherung und Herausgabe besonders sauber sein.

Häufige Fehler bei Notice-and-Takedown

Ein häufiger Fehler ist, nur Screenshots ohne URLs zu senden. Ein Provider muss die beanstandeten Inhalte auffinden können.

Ein zweiter Fehler ist, alle Provider gleich anzuschreiben. Hostprovider, E-Mail-Provider, Registrar, CDN, Plattform und Zahlungsdienstleister haben unterschiedliche Rollen und unterschiedliche rechtliche Pflichten.

Ein dritter Fehler ist, Beweissicherung zu vergessen. Wenn nur Löschung verlangt wird, verschwinden möglicherweise wichtige Daten.

Ein vierter Fehler ist, zu viel auf einmal zu verlangen. Wer sofort umfassende Datenherausgabe an Private verlangt, ohne Rechtsgrundlage zu trennen, provoziert Datenschutzablehnung.

Ein fünfter Fehler ist, die Notice nicht beweissicher zu versenden und zu dokumentieren. Für spätere Haftungsfragen muss klar sein, wann welcher Provider welche Informationen erhalten hat.

Praktisches Vorgehen

Sinnvoll ist ein gestuftes Vorgehen. Zuerst werden Beweise gesichert: Website, URLs, Screenshots, E-Mails, Header, Zahlungsbelege, Wallets, Chatverläufe, Domain- und Providerdaten.

Danach wird die Infrastruktur analysiert: Host, Registrar, DNS, CDN, E-Mail, Plattform, Zahlungsdienstleister, Bank, Exchange.

Anschließend werden die richtigen Adressaten priorisiert. Nicht jeder Anbieter muss sofort angeschrieben werden. Entscheidend ist, wer handeln kann, wer Daten hält und wo Beweisverlust droht.

Dann werden Notice, Preservation Letter und Strafanzeige aufeinander abgestimmt. So entsteht ein einheitliches Vorgehen statt isolierter Einzelmaßnahmen.

Häufige Fragen

Was ist Notice-and-Takedown?

Notice-and-Takedown bedeutet, dass ein Provider konkret auf rechtswidrige Inhalte oder rechtswidrige Nutzung hingewiesen wird und daraufhin Inhalte sperren oder entfernen soll.

Reicht eine einfache Abuse-Mail?

Häufig nicht. Die Meldung muss konkrete URLs, Domains, Accounts, Belege und eine nachvollziehbare Rechtsverletzung enthalten.

Muss der Provider Daten an mich herausgeben?

Nicht automatisch. Datenschutz, Fernmeldegeheimnis und Spezialgesetze können eine direkte Herausgabe begrenzen. Die Sicherung der Daten und Herausgabe an Behörden sind gesondert zu prüfen.

Welche Daten sollten gesichert werden?

Wichtig sind je nach Fall Accountdaten, Registrierungsdaten, IP-Adressen, Login-Zeitpunkte, Serverlogs, Zahlungsdaten, Wallet-Zuordnungen, Abuse-Kommunikation und Plattformdaten.

Wie schnell muss der Provider reagieren?

Bei klaren und akuten Betrugsfällen kann eine sehr kurzfristige Reaktion erforderlich sein. Die konkrete Frist hängt von Dringlichkeit, Beweislage und Art des Providers ab.

Sollte man parallel Strafanzeige stellen?

In vielen Fällen ja. Gerade wenn Täter unbekannt sind oder Kommunikations- und Nutzungsdaten benötigt werden, ist eine Strafanzeige oft zentral.

Nicht nur löschen lassen, sondern Beweise sichern

Bei Betrugsseiten ist ein schneller Takedown wichtig. Noch wichtiger ist aber, dass Beweise und technische Spuren nicht verloren gehen. Eine gute Notice verbindet Sperrung, Beweissicherung, Datenstrategie, Strafanzeige und mögliche weitere Ansprüche.

HORTMANN LAW unterstützt bei der strukturierten Provideransprache: Beweise sichern, Notice-and-Takedown vorbereiten, Preservation Letter formulieren, Strafanzeige strukturieren und weitere Eskalationsschritte rechtlich einordnen.

Weiterführende Themen

Zur allgemeinen Aufarbeitung digitaler Betrugsfälle: Cybercrime & Strafrecht

Zur Prüfung von Krypto-Zahlungen und Wallet-Spuren: Krypto-Betrug

Zur Verbindung von Plattformen, Banken und Zahlungsdienstleistern: Bank- & Plattformhaftung

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Pflichtlinks innerhalb der neuen Provider-Serie

• Anwalt für Providerhaftung bei Online-Betrug: Hoster, E-Mail-Provider, Domains, CDN und Plattformen
• Anwalt gegen Betrugsseiten im Internet: Sperrung, Löschung, Beweissicherung und Datenherausgabe
• Anwalt für Haftung von Webhostern, Hostprovidern, DNS- und CDN-Anbietern bei Betrug und Phishing
• Anwalt für E-Mail-Provider-Haftung bei Phishing, Betrug, Fake-Mails und Identitätsmissbrauch
• Anwalt für Domain-Registrar-Haftung bei Betrugsseiten, Fake-Shops und Cybercrime
• Anwalt für Online-Betrug über Websites, E-Mail-Adressen, Domains, Zahlungsdienste und Krypto-Exchanges
• Anwalt für Plattform- und Providerhaftung bei Anlagebetrug, Trading-Betrug und Krypto-Betrug

Bestehende veröffentlichte Hortmann-Law-Artikel

• Krypto Betrug: Beweissicherung und Spurensuche auf der Blockchain
• Datenauskunft nur mit Konzept
• Unvollständige Auskunft nach Art. 15 DSGVO
• DSGVO-Auskunft, Löschpflicht und Haftungsrisiken für Unternehmen
• DSGVO-Auskunft im Spamfilter
• Crypto.com, OpenPayd & DSGVO: Auskunft und Schadensersatz
• Schadensersatz bei verzögerter Auskunft: Crypto.com
• Krypto-Betrug nachweisen: forensische Checkliste
• Online-Betrug & Adhäsionsverfahren
• Strafanzeige Krypto Betrug

‍