Duitsland vervolgt cybercriminaliteit met een intensiteit die in Nederland weinig weerga kent. Waar het Nederlandse Openbaar Ministerie selectief prioriteert en een aanzienlijk deel van de cybercrimezaken seponeert, hanteert de Duitse justitie het Legalitätsprinzip: er is in beginsel een vervolgingsplicht. Voor Nederlanders die in Duitsland verdacht worden van computercriminaliteit – van hacking en ransomware tot de exploitatie van Darknet-infrastructuur – heeft dat ingrijpende gevolgen. De strafmaxima zijn hoog, de voorlopige hechtenis is de norm en de bewijsvoering op het gebied van digitale sporen is in Duitsland technisch ver ontwikkeld.
De relevante delicten naar Duits recht
Het Duitse cyberstrafrecht is verspreid over meerdere bepalingen in het Strafgesetzbuch. De structuur verschilt wezenlijk van de Nederlandse Wet computercriminaliteit. Waar Nederland de kerndelicten bundelt in de artikelen 138ab, 139c, 139d, 350a en 350b van het Wetboek van Strafrecht, kent Duitsland een fijnmaziger stelsel met hogere strafmaxima en een apart regime voor ernstige gevallen.
§ 202a StGB stelt het ongeautoriseerd toegang verschaffen tot gegevens strafbaar – de Duitse tegenhanger van computervredebreuk. De maximumstraf bedraagt drie jaar gevangenis. § 202b StGB richt zich op het onderscheppen van gegevens, eveneens strafbaar met maximaal drie jaar. § 202c StGB gaat een stap verder en stelt reeds het voorbereiden van deze delicten strafbaar: wie hackingtools vervaardigt, verwerft of verspreidt met het oogmerk om ze in te zetten, riskeert vervolging nog voordat er daadwerkelijk een systeem is binnengedrongen.
Het zwaardere geschut bevindt zich in de bepalingen over Computersabotage. § 303a StGB betreft het wederrechtelijk wijzigen, wissen of onbruikbaar maken van gegevens, met een maximumstraf van twee jaar. § 303b StGB, de Computersabotage in eigenlijke zin, richt zich op het verstoren van gegevensverwerkingsprocessen die voor een ander van wezenlijk belang zijn. Hier bedraagt de maximumstraf drie jaar – maar wanneer het gaat om systemen van een onderneming of overheidsinstelling, loopt het maximum op tot vijf jaar. In besonders schweren Fällen, het Duitse equivalent van strafverzwarende omstandigheden, kan de straf oplopen tot tien jaar gevangenis. Daarvan is sprake wanneer de dader beroepsmatig handelt, als lid van een bende opereert of aanzienlijke vermogensschade veroorzaakt.
Een DDoS-aanval op een bedrijfsnetwerk, het versleutelen van bedrijfsgegevens met ransomware of het saboteren van kritieke infrastructuur valt vrijwel altijd onder § 303b StGB in zijn verzwaarde vorm. Tien jaar gevangenisstraf is dan het wettelijk maximum.
Ransomware, Darknet-hosting en kriminelle Vereinigung
De grootste strafrechtelijke risico’s voor Nederlandse verdachten liggen op het snijvlak van cybercrime en georganiseerde misdaad. Twee delictsvormen springen eruit.
Bij ransomware-aanvallen cumuleert het Duitse strafrecht doorgaans meerdere delicten: Computersabotage (§ 303b StGB), afpersing (§ 253 StGB) en – bij professionele of georganiseerde structuren – deelname aan een kriminelle Vereinigung (§ 129 StGB). De Ransomware-groep Hive, die in 2023 door de Staatsanwaltschaft Stuttgart in samenwerking met het FBI werd ontmanteld, had wereldwijd meer dan 1.500 bedrijven aangevallen, waarvan 70 in Duitsland. De totale schade werd op miljarden geschat. Bij dit soort zaken zijn de straffen navenant: wie als lid van een georganiseerde groep ransomware inzet, riskeert een combinatie van strafbepalingen die tot zeer langdurige gevangenisstraffen leidt.
Het Cyberbunker-proces in Trier illustreert de tweede categorie. De Nederlandse hoofdverdachte Herman X. exploiteerde in een voormalige NAVO-bunker in Traben-Trarbach een Bulletproof Hosting-centrum dat diensten verleende aan Darknet-marktplaatsen zoals Wall Street Market. Via zijn servers werden naar schatting meer dan 249.000 strafbare feiten gefaciliteerd: drugshandel, wapenhandel, ransomware-aanvallen en zelfs de aanval op meer dan een miljoen routers van Deutsche Telekom in 2016. Het Landgericht Trier veroordeelde hem in 2021 tot vijf jaar en negen maanden gevangenisstraf wegens het vormen van een kriminelle Vereinigung. Zijn zoon en medeverdachten kregen straffen tot ruim vier jaar.
Opmerkelijk aan het Cyberbunker-vonnis: het was de eerste keer in de Duitse rechtsgeschiedenis dat exploitanten van een rekencentrum strafrechtelijk verantwoordelijk werden gehouden voor het faciliteren van criminele activiteiten van hun klanten. Dat schept een precedent met verstrekkende gevolgen voor iedereen die digitale infrastructuur aanbiedt aan een clientèle waarvan hij weet – of zou moeten weten – dat deze voor illegale doeleinden wordt gebruikt.
EncroChat en SkyECC: de kracht van digitaal bewijs
Een bijzonder hoofdstuk in de vervolging van Nederlandse verdachten in Duitsland vormen de zogenaamde Kryptomessenger-Verfahren. In 2020 slaagden Franse en Nederlandse opsporingsdiensten erin de versleutelde communicatiedienst EncroChat te kraken. Later volgde SkyECC. Uit de onderschepte berichten – meer dan een miljard bij SkyECC alleen al – rolden duizenden strafzaken in heel Europa, waaronder honderden in Duitsland.
De Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen, de ZAC NRW, is de gespecialiseerde cybercrime-afdeling van het Openbaar Ministerie in Keulen en speelt in deze zaken een centrale rol. Zij voert niet alleen de klassieke cybercrime-zaken, maar ook de BtMG-procedures die voortkomen uit ontsleutelde communicatie. In januari 2025 heeft de Bundesgerichtshof, het hoogste Duitse strafgerecht, bevestigd dat EncroChat-data ook na de cannabis-deellegalisering onverminderd als bewijs mogen worden gebruikt. Beslissend is de rechtmatigheid van de gegevensverkrijging op het moment van overdracht, niet de latere herkwalificatie van het delict.
Voor Nederlandse verdachten is dit van direct belang. De bewijsvoering in Duitse cybercrimezaken steunt in toenemende mate op digitale gegevens die via internationale rechtshulp zijn verkregen: chatberichten, IP-adressen, servergegevens, blockchainanalyse. Wie zich effectief wil verdedigen, heeft een advocaat nodig die niet alleen het materiële strafrecht beheerst, maar ook de technische en processuele kant van digitale bewijsmiddelen begrijpt – van de rechtmatigheid van de gegevensoverdracht tot de forensische betrouwbaarheid van de analyse.
Voorlopige hechtenis en het Europees aanhoudingsbevel
Bij cybercrimezaken wordt voorlopige hechtenis in Duitsland vrijwel standaard bevolen. Naast het gebruikelijke vluchtgevaar bij buitenlandse verdachten speelt hier een bijzonder element: Verdunkelungsgefahr, het gevaar dat de verdachte bewijsmateriaal vernietigt of manipuleert. Bij digitale delicten is dat risico naar het oordeel van Duitse rechters per definitie aanwezig zolang de verdachte toegang heeft tot computers, telefoons of internetverbindingen. De drempel voor het opleggen van voorlopige hechtenis is daarmee bij cybercrimezaken nog lager dan bij klassieke delicten.
Wanneer een Nederlandse verdachte zich niet in Duitsland bevindt, kan de vervolging via een Europees aanhoudingsbevel worden geïnitieerd. Nederland levert eigen onderdanen niet uit ter executie van een straf, maar uitlevering ter vervolging is wel mogelijk – onder de garantie dat de veroordeelde na het onherroepelijk worden van het vonnis wordt teruggeplaatst naar Nederland. De praktijk leert dat deze procedures snel verlopen: binnen dagen na uitvaardiging van het bevel kan een verdachte in Nederland worden aangehouden en overgeleverd.
Waarom de keuze van advocaat in cybercrimezaken beslissend is
Cybercrimezaken onderscheiden zich fundamenteel van andere strafzaken. Het bewijsmateriaal is bijna uitsluitend digitaal. De vraag of een IP-adres daadwerkelijk aan een specifieke persoon kan worden gekoppeld, of een chatbericht integer is overgedragen, of een forensische analyse methodologisch deugdelijk is uitgevoerd, vergt kennis die de meeste strafrechtadvocaten niet bezitten.
In Duitsland is de Fachanwalt für Strafrecht een beschermde titel die uitsluitend wordt verleend na bewezen specialistische ervaring en aanvullende opleiding. De Fachanwalt für IT-Recht is de evenknie op het terrein van informatietechnologie en softwarerecht. Een advocaat die beide titels draagt, combineert de processuele ervaring in strafzaken met het technische begrip dat nodig is om digitale bewijsmiddelen effectief te betwisten. Die combinatie is zeldzaam – en in cybercrimezaken van doorslaggevende waarde.
Wie als Nederlander in Duitsland verdacht wordt van cybercriminaliteit, doet er verstandig aan een advocaat te kiezen die op beide terreinen thuis is, die in het Nederlands communiceert en die de relevante processtukken vertaalt en analyseert zodat de verdachte daadwerkelijk begrijpt waarop de beschuldiging berust. Strafrechtelijke verdediging zonder begrip van de technologie is in cybercrimezaken geen verdediging.
Veelgestelde vragen (FAQ)
Welke straffen staan er in Duitsland op hacking?
Het ongeautoriseerd toegang verschaffen tot gegevens (§ 202a StGB) wordt bestraft met maximaal drie jaar gevangenis. Bij Computersabotage van bedrijfssystemen (§ 303b lid 2 StGB) loopt het maximum op tot vijf jaar, in ernstige gevallen tot tien jaar.
Kan ik als Nederlander worden uitgeleverd aan Duitsland voor cybercrime?
Ja. Via een Europees aanhoudingsbevel kan Duitsland om overlevering verzoeken. Nederland levert eigen onderdanen uit ter vervolging, mits de garantie wordt gegeven dat een eventuele straf in Nederland kan worden uitgezeten.
Wat is een kriminelle Vereinigung en waarom is dat relevant?
§ 129 StGB stelt deelname aan een criminele organisatie strafbaar met maximaal vijf jaar gevangenis. Bij cybercrimezaken – ransomware-groepen, Darknet-marktplaatsen, georganiseerde hackingnetwerken – wordt dit delict vaak ten laste gelegd naast de eigenlijke cybercrime-delicten, wat de totale strafmaat aanzienlijk verhoogt.
Zijn EncroChat- en SkyECC-berichten bruikbaar als bewijs in Duitsland?
Ja. De Bundesgerichtshof heeft in januari 2025 bevestigd dat deze gegevens als bewijs mogen worden gebruikt, ook wanneer het onderliggende delict door wetswijzigingen inmiddels milder wordt gekwalificeerd. Een effectieve verdediging richt zich daarom op de integriteit van de gegevensoverdracht en de forensische betrouwbaarheid van de analyse.
Hoe lang kan de voorlopige hechtenis bij cybercrime duren?
Maximaal zes maanden voordat de inhoudelijke behandeling moet aanvangen. Bij cybercrimezaken wordt voorlopige hechtenis vrijwel standaard opgelegd vanwege het gecombineerde risico van vluchtgevaar en bewijsvernietiging. Dat is aanzienlijk langer dan de 110 dagen die in het Nederlandse systeem gangbaar zijn.
Heb ik recht op een Nederlandssprekende advocaat?
De verdachte mag zelf een advocaat voordragen, ook in het kader van de Pflichtverteidigung. De rechtbank volgt die voordracht in de regel. Er zijn in de grensregio gespecialiseerde strafrechtadvocaten die Nederlands spreken, de relevante processtukken vertalen en het belastende bewijs schriftelijk in het Nederlands analyseren.
Bereikbaarheid: via e-mail, terugbellen, Threema of Whatsapp. Informatie over onze kosten.
Ons advocatenkantoor is gespecialiseerd in strafrechtelijke verdediging, cybercriminaliteit, economisch strafrecht en fiscaal strafrecht en IT-recht en manager aansprakelijkheid. Wij nemen alleen strafrechtelijke verdedigingen van consumenten aan. Wij zijn gevestigd in de regio Aken en zijn actief in heel Duitsland.
