Das Paket ist weg — jetzt fängt das eigentliche Problem an
Wer eine Sendung über ein Darknet-Marktplatz bestellt und dann Post vom Zoll oder der Staatsanwaltschaft bekommt, steht vor einer Situation, die viele Mandanten als schlagartig verändernd beschreiben. Das Paket wurde abgefangen. Und die Ermittler haben Monate Zeit, in Ruhe zu arbeiten, während der Betroffene nicht weiß, was als Nächstes passiert.
Die nächste Eskalationsstufe ist die Hausdurchsuchung — oft früh morgens, ohne Ankündigung. Dann stehen Zollfahnder oder Kriminalbeamte vor der Tür, mit einem Beschluss nach § 102 StPO in der Hand. Handy, Rechner, externe Festplatten, bisweilen das gesamte Arbeitszimmer — alles wird mitgenommen.
Was jetzt zählt: kein Wort ohne Anwalt. Nicht dem Beamten erklären, dass das Paket für jemand anderen war. Nicht zeigen, wie das Handy entsperrt wird. Nur die Personalien nennen und warten.
Diese Seite erklärt, wie die Ermittlung abläuft, auf welcher rechtlichen Grundlage der Zoll handelt, was EncroChat und Bitcoin-Analysen für die Beweislage bedeuten — und wo die Ansatzpunkte der Verteidigung liegen.
Wie die Ermittlung abläuft: vom Zollfund zur Hausdurchsuchung
Der typische Ablauf beginnt beim Zoll. Sendungen aus dem Ausland — besonders aus den Niederlanden, Spanien oder osteuropäischen Ländern — werden stichprobenartig oder auf Basis von Risikoprofilen kontrolliert. Ergibt die Röntgenuntersuchung oder das Rauschgiftspürhund-Screening einen Verdacht, öffnet der Zoll das Paket. Das ist zulässig; die Rechtsgrundlage dafür ist § 5 ZollVG.
Nach dem Fund geschieht eines von zwei Dingen: Entweder leitet der Zoll sofort eine Anzeige weiter — dann beginnt ein Ermittlungsverfahren, von dem der Adressat zunächst gar nichts weiß. Oder die Behörden entscheiden sich für eine kontrollierte Zustellung (auf Basis eines Beschlusses nach §§ 99, 100 StPO). Das Paket wird (manchmal mit einem Dummy-Inhalt) regulär zum Empfänger gebracht. Nimmt er es persönlich entgegen, erfolgt unmittelbar der Zugriff.
Wenn der Empfänger das Paket nicht persönlich abholt oder wenn der Fund zunächst nur als Anzeige dokumentiert wird, folgt die Hausdurchsuchung mit zeitlichem Abstand. Die Ermittler nutzen die Zeit, um mehr über den Adressaten herauszufinden: Vorstrafen, Kontoverbindungen, mögliche Darknet-Aktivitäten.
Der Durchsuchungsbeschluss nach §§ 102, 105 StPO muss einen konkreten Tatvorwurf, einen Zeitraum und den Ort der Durchsuchung benennen. Formelle Mängel des Beschlusses — zu weite Formulierungen, veraltete Daten, fehlende Begründung des Verdachts — können zu Verwertungsproblemen führen. Ich prüfe jeden Beschluss im Mandat auf solche Schwachstellen.
Zollbefugnisse und Postgeheimnis: Was rechtlich gilt
Die Befugnis des Zolls, Postsendungen zu öffnen, leitet sich aus § 5 ZollVG ab. Postdienstleister müssen auf Verlangen des Zolls Sendungen vorlegen, wenn tatsächliche Anhaltspunkte für eine verbotene Ein- oder Ausfuhr bestehen. Das Brief- und Postgeheimnis aus Art. 10 GG steht dem nicht absolut entgegen — es gilt, ist aber durch das ZollVG eingeschränkt.
Entscheidend ist der formelle Ablauf: Lagen beim Öffnen tatsächliche Anhaltspunkte vor? Wurde das Öffnen korrekt dokumentiert? Sind die Zuständigkeiten gewahrt?
Ein Verstoß gegen Postgesetz-Vorschriften beim Öffnen einer Sendung kann im Einzelfall ein Beweisverwertungsverbot begründen. Das Amtsgericht Flensburg hat am 27. Februar 2023 entschieden, dass Inhalte einer Postsendung, die unter Verletzung von PostG-Vorschriften geöffnet wurde, unverwertbar sein können. Das ist keine Garantie, aber ein Ansatzpunkt, der in der Verteidigung sorgfältig geprüft werden muss.
Von § 12a ZollVG, der häufig in diesem Zusammenhang genannt wird, rate ich ab: Diese Norm regelt die Überwachung des grenzüberschreitenden Bargeldverkehrs ab 10.000 Euro — sie hat mit der Drogenkontrolle von Postsendungen nichts zu tun.
Ergänzend: Nach § 99 StPO können Behörden Postsendungen beschlagnahmen oder — nach der Neufassung von § 99 Abs. 2 StPO (seit 1. Juli 2021) — ohne richterliche Anordnung Auskünfte über Sendungsdaten (Name, Anschrift, Sendungsnummer) beim Postdienstleister abfragen. Diese Unterscheidung zwischen Auskunft und Beschlagnahme ist prozessual relevant.
EncroChat, SkyECC, ANOM: Was diese Daten in Ihrem Verfahren bedeuten
Darknet-Verfahren haben eine zweite Beweisebene, die für Mandanten oft überraschend ist: Krypto-Messenger-Daten aus großangelegten europäischen Ermittlungen.
EncroChat war ein verschlüsselter Mobilfunkdienst, dessen Server die französische Behörde JUNALCO im Jahr 2020 kompromittierte. Die deutschen Behörden erhielten die Daten über eine Europäische Ermittlungsanordnung (EEA). Der BGH hat in seinem Leitbeschluss vom 2. März 2022 (5 StR 457/21, BGHSt 67, 29) entschieden, dass diese Daten grundsätzlich verwertbar sind.
Seither hat diese Linie mehrere gerichtliche Stationen durchlaufen:
- EuGH, 30. April 2024 (C-670/22): Das Gericht hat eine neue Prüfschiene eröffnet. Die Frage ist nicht nur, ob die EEA rechtmäßig war, sondern ob deutsche Behörden die Überwachungsmaßnahme unter denselben materiellen Voraussetzungen selbst hätten anordnen dürfen. Das eröffnet Einzelfall-Angriffspunkte, begründet aber kein generelles Verwertungsverbot.
- BVerfG, 1. November 2024 (2 BvR 684/22): Die Verfassungsbeschwerde wurde nicht zur Entscheidung angenommen. Das BVerfG hält die BGH-Linie für verfassungsrechtlich nicht zu beanstanden. Der Streit über die generelle Verwertbarkeit ist damit weitgehend beendet.
- BGH, 30. Januar 2025 (5 StR 528/24): Auch nach Inkrafttreten des Konsumcannabisgesetzes (KCanG, April 2024) bleiben EncroChat-Daten in Cannabis-Verfahren verwertbar — für die Rechtmäßigkeit der Überwachungsanordnung ist der Zeitpunkt der Anordnung maßgeblich, nicht das heutige Recht.
- BGH, 9. Januar 2025 (1 StR 54/24): Verwertbarkeit von SkyECC- und ANOM-Daten bestätigt. Auch hier erfolgte die Datenerhebung durch ausländische Behörden (u.a. Belgien für SkyECC, FBI/USA für ANOM) mit anschließender EEA-Übermittlung — die BGH-Logik ist dieselbe.
Was bedeutet das für die Verteidigung? Der Angriff auf die generelle Verwertbarkeit dieser Daten ist nach der BVerfG-Entscheidung kaum noch erfolgversprechend. Aussichtsreicher sind Einzelfall-Rügen: War die konkrete Katalogtat-Schwelle erfüllt? Ist die Zuordnung des Nutzerkontos zum Mandanten wirklich beweissicher? War die Ausleitung der gesamten Datenmasse verhältnismäßig für diesen konkreten Beschuldigten? Diese Fragen lassen sich nur auf Basis der konkreten Akten beantworten.
Wallet-Spur und Identitätsnachweis: Wer hat wirklich bestellt?
Die zentrale Beweisfrage in jedem Darknet-Verfahren lautet: Kann die Staatsanwaltschaft beweisen, dass dieser bestimmte Mensch das Konto auf dem Marktplatz betrieben und die Bestellung aufgegeben hat?
Die Paketadresse allein reicht dafür nicht. Jemand anderes kann die Adresse eines Dritten benutzt haben, um dort eine Bestellung abzuliefern. Gerichte stellen seit einigen Jahren höhere Anforderungen an den Tatnachweis. Ohne weitere Beweise ist die Zuordnung angreifbar.
Die Ermittler versuchen deshalb, mehrere Indizien zu verknüpfen:
Kryptowährungs-Spur: Bitcoin-Transaktionen sind pseudonym, nicht anonym. BKA und Zollkriminalamt (ZKA) setzen Blockchain-Forensik-Tools wie Chainalysis oder Elliptic ein, um Wallets Personen zuzuordnen. Kritisch wird es, wenn die verwendete Wallet jemals mit einer Kryptobörse verknüpft war, die KYC-Daten (Know Your Customer) gespeichert hat — dann führt die Spur über § 100j StPO (Bestandsdatenauskunft) direkt zum Mandanten. Monero-Transaktionen sind erheblich schwerer zu verfolgen.
Die Forensik-Methoden sind aber angreifbar. Kein BGH-Grundsatzurteil hat bisher die Zuverlässigkeit von Chainalysis-Cluster-Analysen höchstrichterlich standardisiert. Ein eigener Sachverständiger für Blockchain-Forensik kann die Zuordnungssicherheit in Frage stellen.
IP-Adresse: Über § 100j StPO können Ermittler beim Tor-Exit-Node-Betreiber oder beim Internetzugangsanbieter Verbindungsdaten erheben, die den Zeitpunkt des Logins auf dem Marktplatz mit einer IP-Adresse verknüpfen.
Gerätespuren: Auf sichergestellten Rechnern suchen Ermittler nach Tor-Browser-Installationen, Wallet-Software, Kontodaten, gespeicherten Passwörtern und Chatverläufen.
Fingerabdrücke und DNA: Auf der äußeren Verpackung können Spuren des Empfängers gesichert worden sein.
Alle diese Indizien müssen zusammenpassen — und jede Schwachstelle in der Kette ist ein Ansatzpunkt.
Strafrahmen: von der Einstellung bis zum Verbrechen
Die Strafe hängt primär von der Menge der eingeführten Substanz ab.
Kleine Menge für den Eigenbedarf — § 29 Abs. 1 Nr. 1 BtMG: Vergehen. Strafrahmen bis zu fünf Jahre Freiheitsstrafe oder Geldstrafe. Staatsanwaltschaften stellen solche Verfahren häufig nach § 31a BtMG (Einstellung bei geringer Menge zum Eigengebrauch) oder nach § 153a StPO gegen Geldauflage ein. Wer zum ersten Mal auffällt und eine geringe Menge bestellt hat, hat reelle Chancen auf Einstellung.
Nicht geringe Menge — § 30 Abs. 1 Nr. 4 BtMG: Verbrechen. Mindeststrafe zwei Jahre Freiheitsstrafe. Die Grenzwerte sind substanzspezifisch und durch BGH-Rechtsprechung definiert (beispielhaft: Kokain ca. 5 g Reinalkaloide, MDMA ca. 30 g, Amphetamin ca. 10 g Reinsubstanz — für die konkrete Substanz muss die aktuelle BGH-Rechtsprechung geprüft werden). Im minder schweren Fall nach § 30 Abs. 2 BtMG liegt der Rahmen bei drei Monaten bis fünf Jahren — dieser Weg setzt erhebliche Strafmilderungsgründe voraus, ist aber bei Ersttätern ohne Vorstrafen und geständiger Einlassung nicht ausgeschlossen.
Bandenmäßige Einfuhr — § 30a BtMG: Ab nicht unter fünf Jahren. Relevant für Mandanten, die als Teil einer organisierten Verkaufsstruktur aufgetreten sind.
Verteidigung: Was konkret geprüft werden muss
Ich prüfe in jedem Darknet-Mandat systematisch folgende Punkte:
Formelle Rechtmäßigkeit des Zollzugriffs: Lagen beim Öffnen des Pakets tatsächliche Anhaltspunkte vor? Wurde die Öffnung korrekt nach § 5 ZollVG dokumentiert? Ein formeller Fehler kann ein Beweisverwertungsverbot begründen.
Rechtmäßigkeit des Durchsuchungsbeschlusses: Gibt der Beschluss nach §§ 102, 105 StPO einen konkreten Tatvorwurf, einen klaren zeitlichen und örtlichen Rahmen vor? Zu weite oder veraltete Beschlüsse sind angreifbar.
Zuordnung der Bestellung: Über welche Beweise wollen Ermittler nachweisen, dass mein Mandant das Darknet-Konto betrieben hat? Reicht die Paketadresse allein? Gibt es eine Wallet-Spur — und wie belastbar ist die Blockchain-Forensik? Gibt es eine IP-Adresse?
EncroChat/SkyECC-Nutzerkonto: Falls mein Mandant durch Krypto-Messenger-Daten belastet wird: Ist die Zuordnung des Nutzerkontos zum Mandanten beweissicher? Waren Geräte möglicherweise weitergegeben oder mehrfach genutzt?
Mengenfrage genau prüfen: Liegt die Substanzmenge wirklich über dem Grenzwert zur nicht geringen Menge? Die Reinsubstanzberechnung ist häufig streitig.
Schweigen als Basis: Keine Aussage vor anwaltlicher Beratung. Wer dem Beamten bei der Hausdurchsuchung erklärt, das Paket nicht bestellt zu haben, schafft Widersprüche, die später genutzt werden — das scheinbar entlastende Argument wird zur Belastung.
Rechtsprechungs- und Normennachweise
- BGH, Beschluss vom 2. März 2022 — 5 StR 457/21 (BGHSt 67, 29): Verwertbarkeit von EncroChat-Daten aus französischer EEA
- EuGH, Urteil vom 30. April 2024 — C-670/22 (ECLI:EU:C:2024:372): Einzelfall-Prüfschiene für EEA-Beweise
- BVerfG, Beschluss vom 1. November 2024 — 2 BvR 684/22: Verfassungsrechtliche Unbedenklichkeit der BGH-EncroChat-Linie
- BGH, Urteil vom 30. Januar 2025 — 5 StR 528/24: EncroChat-Verwertung nach KCanG
- BGH, Urteil vom 9. Januar 2025 — 1 StR 54/24: Verwertbarkeit von SkyECC- und ANOM-Daten
- AG Flensburg, Beschluss vom 27. Februar 2023 – 480 Gs 261/23: Formeller PostG-Verstoß beim Öffnen einer Postsendung kann Beweisverwertungsverbot begründen
- §§ 29, 30, 30a BtMG; § 5 ZollVG; §§ 99, 100, 100j, 102, 105 StPO; Art. 10 GG
