Meldungen des NCMEC – Grundlagen und Ideen für die Verteidigung im Bereich Kinder- und Jugendpornografie

Ausgangspunkt

Wer im Deliktsbereich Kinder- und Jugendpornografie Mandate bearbeitet, wird zwangsläufig damit konfrontiert, dass der Anfangsverdacht und Anlass einer Hausdurchsuchung allein auf einer Meldung des privat organisierten „National Centre for Missing and Exploited Children“ (nachfolgend NCMEC) beruht. Mehr als 100.000 Verdachtsfälle meldete das NCMEC im Jahr 2022 dem Bundeskriminalamt (Rau/Schröder, DRiZ 2023, 88, 89). Mehr als 60.000 Verdachtsmeldungen verarbeitet das NCMEC pro Tag (www.palantir.com/­NCMEC – zuletzt eingesehen am 12.12.2024).

Ein sog. CyberTipline-Report (CT-Report) teilt dem Bundeskriminalamt (BKA) auf englischer Sprache mit, dass ein Kooperationspartner einen Verdachtsfall gemeldet habe, und stellt alle verfügbaren Daten im Report zur Verfügung.

Die in den Berichten des BKA und des NCMEC angeführten Tatsachen sind forensisch nicht überprüfbar. Deutsche Behörden haben keinen Zugriff auf die technische Infrastruktur und keine Einblicke in die eingesetzten Algorithmen, welche die Meldungen generieren (AG Reutlingen, Beschl. v. 18.8.2022 – 5 Ds 52 Js 9104/22 jug Rn 23, juris).

Der nachfolgende Beitrag soll einerseits ein alltagstaugliches Grundverständnis für die Verteidigung in dem Bereich ermöglichen. Andererseits sollen praktische Verteidigungsansätze vermittelt werden; und zwar auch für das Problem tatsächlich vorgefundener inkriminierter Dateien infolge von Hausdurchsuchung, Beschlagnahme und Datenträgerauswertung.

Juristischer und technischer Hintergrund der NCMEC-Meldung

Juristischer Hintergrund der für Provider verpflichtenden Meldungen kinder- und jugendpornografischer Inhalte an das NCMEC ist ein US-amerikanisches Bundesgesetz. Verstöße gegen die Meldepflicht werden mit 300.000 US-Dollar Strafe geahndet. Das NCMEC nimmt als NGO eine Scharnierfunktion für Datenaustausch wahr zwischen den kommerziell arbeitenden Anbietern von Kommunikationsmitteln und US-amerikanischen und internationalen Strafverfolgungsbehörden (ausführlich zu den Rechtsgrundlagen: Pschorr/Wörner, StV 2023, 274 ff.)

NCMEC und Provider halten eine sehr umfangreiche Datenbank mit bekannten kinderpornografischen Bildern und Videos vor, zu denen Hashwerte existieren, die dann vollautomatisiert mit Inhalten auf Plattformen abgeglichen werden können (BeckOK-StPO/Ferner, 53. Ed., 1.10.2024, TKG § 170 Rn 23.1).

Soweit aktuell überhaupt deutsche Fachliteratur über das NCMEC verfügbar ist, wird dessen Arbeit als faktisch private Strafverfolgungs- und Datensammeleinrichtung, wo innerhalb der EU und Deutschlands allein eine Zuweisung zu staatlichen Behörden zulässig ist, sehr kritisch gesehen (grundlegend Pschorr/Wörner, a.a.O.). Innerhalb der Richterschaft wird generell für die Erlangung solcher massenhaft abgefischten Daten „saubere Vorarbeit bei der Datenerlangung“ (Rau/Schröder, a.a.O.) als unabdingbar angesehen. Im Bereich der Rechtshilfe dürften keine Fehler passieren, „da ansonsten Beweisverwertungsverbote in jedem einzelnen Strafverfahren im Raum stehen“ (Rau/Schröder, a.a.O.).

Indes: Beweisverwertungsverbote oder nennenswerte Kritik konkret an der Verwendung von NCMEC-Meldungen im deutschen Strafverfahren finden sich in der Rechtsprechung kaum. Wo sie sich finden, haben sie jedoch Hand, Fuß und Schwergewicht.

Die durch NCMEC in seiner Eigendarstellung behauptete individuelle Prüfung der Meldungen findet faktisch nicht statt. Wer den CyberTipline-Report in seiner Akte aufmerksam liest, findet zur mangelnden Einzelfallkontrolle an mehreren Stellen den generellen Vorbehalt des NCMEC:

„NCMEC Classification is based on NCMECs review of the report OR a ‘Hash Match’ of one or more uploaded files. NCMEC may not have viewed all uploaded files submitted by the reporting ESP.“

Hiernach hat das NCMEC sich den Verdachtsfall entweder selbst angeschaut ODER (Hervorhebung im Englischen durch das NCMEC selbst!) einen Treffer über sog. Hash-Werte erlangt. Zudem könnten die übermittelten, verdächtigen Dateien nicht durch das NCMEC selbst geprüft sein.

Nicht selten findet der Verteidiger dann den konkret fallbezogenen Hinweis:

„NCMEC staff have not viewed the following uploaded files and have no information concerning the content of the uploaded files …“.

Beim NCMEC hat sich also die konkret ans BKA gemeldete Datei niemand vorher angeschaut.

In technischer Hinsicht wird die individuelle Prüfung also ersetzt durch eine Erkennungssoftware des Anbieters Palantir. Palantir selbst wirbt mit der Kooperation mit dem NCMEC. Der Softwareanbieter berühmt sich damit, dass „ein Team von lediglich 30 Analysten“ mit Hilfe der Software jährlich 16,9 Millionen Bilder und Videos mit Kindesmissbrauch („child sexual abuse“) überprüft (www.palantir.com/­NCMEC – zuletzt eingesehen am 12.12.2024). Es versteht sich schon aus Laiensicht von selbst, dass die Datenmengen selbst bei größeren Mitarbeiterstäben keinerlei Einzelfallprüfung unterzogen werden können.

Nach Ferner belege die Praxis, dass häufig gar schlichte Familienfotos als vermeintlich inkriminierte Daten zu vollständigen Account-Sperrungen führen, was mit einem Verlust sämtlicher „in der Cloud“ hinterlegter Daten einhergeht (BeckOK-StPO/Ferner, 53. Ed., 1.10.2024, TKG § 170 Rn 24).

Nach Erfahrung des Verfassers werden die an deutsche Behörden übermittelten Dateien erstmals dort individuell überprüft. In Ermittlungsakten findet sich die standardisierte Vorgehensweise regelmäßig dargestellt:

„Die Mitarbeitenden des Referats XYZ (Zentralstelle Kinderpornografe) des BKA bewerten die den CT-Reports beigefügten Beweismittel auf strafrechtliche Relevanz. Sofern nach dortiger Bewertung ein Anfangsverdacht gem. §§ 176 ff., 184b oder 184c StGB vorliegt, wird über die Befugnisse des BKA-Gesetz (BKAG) eine Bestandsdatenabfrage zur Klärung der örtlichen Zuständigkeit an den betreffenden Provider gestellt. Das BKA stellt daraufhin den CT-Report mitsamt der Beweismittel, der Bestandsdatenanfragen sowie der Auskünfte des angefragten Providers dem zuständigen Landeskriminalamt (LKA) elektronisch zur Verfügung.“

Soweit das LKA ermitteln kann, in welchem Zuständigkeitsbereich sich der sodann Beschuldigte aufhält, wird die Akte entsprechend weiterverfügt, was sich regelmäßig wie folgt liest:

„Der Vorgang wird mit diesem Ermittlungsstand zuständigkeitshalber der Staatsanwaltschaft XYZ zugesandt. Sollten weiterführende Ermittlungen als notwendig erachtet werden, wird darum gebeten, diese über das Polizeipräsidium XYZ zu veranlassen.“

Vor Ort erfolgt dann grob heruntergebrochen die Hausdurchsuchung oder (selten) die bloße Vorladung. Letztere nicht selten mit dem freundlichen Hinwies, man möchte bitte sein Handy zur Vernehmung mitbringen.

Das NCMEC in der deutschen Rechtsprechung

Kinderschutz ja, Strafverfolgung ja. Gleichwohl sollten die Bedenken eines Rechtsstaats zahlreich und groß sein, wenn der Staat die ihm obliegende Strafrechtspflege mithilfe privater Akteure systematisch betreibt. Pschorr/Wörner (a.a.O.) kritisieren das verfassungswidrige Unterlaufen effektiven Rechtsschutzes aus Art. 19 Abs. 4 GG. Der Rückgriff auf rein privat erlangte Informationen führe dazu, dass deren Gewinnung bereits strukturell gerichtlicher Kontrolle entzogen sei (Pschorr/Wörner, StV 2023, 274, 276 m.w.N.).

1. Beweisverwertungsverbot für NCMEC-Meldungen?

Wer meint, diese Kritik und die augenscheinlich problematischen, weil völlig undurchsichtigen Vorgänge der privatwirtschaftlichen Datengewinnung und Datenübermittlung seien in der Rechtsprechung durchgreifenden Bedenken begegnet, irrt sich gewaltig.

Der Praktiker „verdankt“ sein Mandat üblicherweise kurzen und knackigen Durchsuchungsanordnungen von Ermittlungsrichtern, welche die NCMEC-Meldung ohne Weiteres für den Anfangsverdacht heranziehen.

In einer Haftentscheidung des OLG München begründete der CT-Report des NCMEC den dringenden Tatverdacht. Das OLG sah sich nicht mit einem Wort dazu veranlasst, die Art und Weise der Verdachtsherkunft in Zweifel zu ziehen (OLG München, Beschl. v. 1.3.2021 – 3 Ws 140/21). Das LG Halle/Saale sah in einer Entscheidung über Beiordnung eines Pflichtverteidigers jedenfalls „keine ernsthaften Ansatzpunkte“ für eine Entscheidung über Beweisverwertungsverbote (LG Halle, Beschl. v. 12.8.2020 – 10a Qs 77/20).

Ganz aktuell wird man zudem befürchten müssen, dass entsprechende Verfassungsbeschwerden über die Verwertung von NCMEC-Beweismitteln in Karlsruhe keinen Erfolg haben könnten. Zwar stand im Streit lediglich die Frage, ob eine Person in einem Video nun 15 bis 17 Jahre alt sei oder 18 Jahre und ob deswegen nicht hätte durchsucht werden dürfen. Es begegnet jedoch gemäß BVerfG „keinen verfassungsrechtlichen Bedenken, dass Amts- und Landgericht die Annahme, dass sich der Beschwerdeführer im Besitz von zumindest jugendpornografischen Inhalten befunden und diese an mehrere Empfänger versandt hat, auf das versandte Video gestützt haben, weil auf sie die im Video abgebildete Person minderjährig wirkt. Das kann als zureichender tatsächlicher Anhaltspunkt für die Strafbarkeit des Besitzes und der Verbreitung auch von anderem jugend- oder kinderpornografischen Material genügen“ (BVerfG, Beschl. v. 21.10.2024 – 1 BvR 2215/24). Das konkrete Video entstammt der NCMEC-Meldung. Offen bleibt, weil sich das BVerfG dazu nicht äußern musste, ob Beweisverwertungsverbote weiterhin überhaupt erfolgreich gerügt werden können oder nicht.

2. Anfangsverdacht regelmäßig durch NCMEC-Meldung begründet; hinreichender Tatverdacht nicht unbedingt

Es lässt sich darüber streiten, ob die Meldung durch das NCMEC einen Verdacht gegen eine Person begründen kann oder nicht. Zu differenzieren ist hier vor allem zwischen dem Anfangsverdacht, der die Anordnung einer Hausdurchsuchung begründen kann, und dem hinreichenden Tatverdacht, der für die Eröffnung des Hauptverfahrens vorliegen muss.

a) Anfangsverdacht und Durchsuchungsbeschluss

Wie dargelegt führt die Meldung des NCMEC oft (fast immer?!) bloß zu einer IP-Adresse, einem Anschlussinhaber und damit bloß in einen Haushalt mit gegebenenfalls mehreren Bewohnern – nicht jedoch zu einem konkreten Endgerät. Genügt dies für einen Anfangsverdacht gegen eine konkrete Person und entsprechende Grundrechtseingriffe? Dies ist jedenfalls für Mehrfamilienhäuser und Wohnungen mit mehreren Bewohnern streitig.

Dem LG Bamberg genügt es für den Anfangsverdacht und die Anordnung der Hausdurchsuchung gegen den einzigen männlichen Erwachsenen im Haushalt, wenn eine dem NCMEC gemeldete IP-Adresse zu einem erwachsenen männlichen Anschlussinhaber führt. Dieser sei zu Recht beschuldigt. Soweit ein oder mehrere Endgeräte im Haushalt mehreren Haushaltsmitgliedern zur Nutzung zur Verfügung stünden, sei der einzig noch mögliche Schluss für StA und Polizei, alle anderen Haushaltsmitglieder ebenfalls zu Beschuldigten zu erklären – nicht jedoch keine Durchsuchung anzuordnen (LG Bamberg, Beschl. v. 18.12.2023 – 15 Qs 86/23). Das LG Paderborn sieht es ähnlich. Die Meldung des NCMEC stelle demnach einen zureichenden tatsächlichen Anhaltspunkt dafür dar, dass über den Internet-Anschluss des Beschuldigten, der anhand der verwendeten IP-Adresse ermittelt werden konnte, am … um … Uhr eine kinderpornografische Bilddatei über die Suchmaschine … hochgeladen wurde, um sie anderen Nutzern zugänglich zu machen. Da es sich um den Internet-Anschluss des Beschuldigten handelte, bestand ein Anfangsverdacht, dass er im Besitz der entsprechenden Datei war und den Upload vorgenommen hatte. Soweit die im Jahr 1955 geborene Großmutter des Beschuldigten mit diesem in einer Wohnung lebte und damit am … ggfs. auch Zugriff auf den Internetanschluss des Beschuldigten hatte, kommt diese nach allgemeiner kriminalistischer Erfahrung als Täterin für einen Besitz und das Verbreiten einer kinderpornografischen Datei mit einer erheblich geringeren Wahrscheinlichkeit in Betracht als der Beschuldigte (LG Paderborn, Beschl. v. 20.9.2024 – 1 Qs 94/24). Das LG Hannover kassierte einen Durchsuchungsbeschluss nicht, weil etwa bei der NCMEC-Meldung kein Anfangsverdacht gegen einen Anschlussinhaber bestünde. Der Ermittlungsrichter hatte vielmehr im Beschluss den Tatzeitraum nicht benannt, obschon dies aufgrund des CT-Reports ohne weiteres möglich (und nötig) gewesen wäre (LG Hannover, Beschl. v. 3.7.2017 – 34 Qs 29/17). Bereits keinen Anfangsverdacht sieht hingegen das LG Detmold in vergleichbarer Ermittlungslage. Es entschied im Falle einer NCMEC-Meldung, die zu einer E-Mail-Adresse sowie einer hinterlegten Rufnummer führte: „Aufgrund der polizeilichen Ermittlungen konnte lediglich festgestellt werden, dass die Dateien über die E-Mail-Adresse pp. hochgeladen wurden. Die zu dieser Adresse hinterlegte Rufnummer pp. wurde allerdings der Mutter des Beschuldigten zugeordnet. Hinzu kommt, dass unter der ermittelten Wohnanschrift neben dem Beschuldigten noch vier weitere Personen amtlich gemeldet sind, von denen zumindest zwei aufgrund ihres Geschlechts und Alters potenziell als Tatverdächtige in Betracht kommen“ (LG Detmold, Beschl. v. 11.4.2022 – 23 Qs 27/22). Bei einer Gesamtwürdigung sei die Durchsuchungsanordnung daher trotz der Schwere der Straftat insbesondere mit Rücksicht auf den Zeitablauf von einem Jahr zwischen NCMEC-Meldung und Anordnung der Durchsuchung nicht mehr verhältnismäßig (für weitere veröffentlichte Entscheidungen, die den Anfangsverdacht aufgrund NCMEC-Mitteilung stützen, vgl. die Nachweise bei Pschorr/Wörner, StV 2023, 274 Fn 50).

b) Kein hinreichender Tatverdacht für Eröffnungsbeschluss ohne Hinweis auf konkretes Endgerät und dessen Nutzer

Während die Hürde für den Anfangsverdacht untechnisch gesagt nicht sehr hoch ist, liegt die Latte für den hinreichenden Tatverdacht, der für die Eröffnung des Hauptverfahrens nötig ist, höher.

Das AG Reutlingen kritisierte in einer Nichteröffnungsentscheidung die juristische Undurchsichtigkeit des gesamten NCMEC-Systems (vgl. AG Reutlingen, Beschl. v. 18.8.2022 – 5 Ds 52 Js 9104/22). Die durch die Privatorganisation mitgeteilten Daten seien nicht forensisch von einem deutschen Gericht oder einem Sachverständigen überprüfbar und es fehle eine an den anerkannten Grundsätzen der IT-Forensik (hierzu: Bundesamt für Sicherheit in der Informationstechnik) zu messende Dokumentation der Datenzuordnung. Die überhaupt nicht sichere Zuordnung einer Meldung eines Instagram-Accounts zum konkreten Endgerätenutzer, bloß weil die zudem dynamische IP-Adresse vermeintlich in einen Haushalt führe, begründe keinen Anfangsverdacht gegen eine bestimmte Person. Nach dem AG Reutlingen taugt die NCMEC-Meldung ohne Endgerätezuordnung oder andere Anhaltspunkte über einen konkreten Versender einer Datei juristisch rein gar nichts: „Aus dem Inhalt einer verbotenen Datei auf den möglichen Verwender zu schließen, erscheint weder rechtlich noch kriminologisch belastbar möglich oder zulässig“ (AG Reutlingen a.a.O.). Wenn das LG Paderborn (LG Paderborn, Beschl. v. 20.9.2024 – 1 Qs 94/24) im o.a. Beschluss übrigens behauptet, das AG Reutlingen habe lediglich die Eröffnung abgelehnt, also über den hinreichenden Tatverdacht entschieden, und die Entscheidung sei damit für die Frage des Anfangsverdachts nicht durch die Verteidigung fruchtbar zu machen, so liegt es falsch. Denn das AG Reutlingen positionierte sich eindeutig auch gegen den Anfangsverdacht. Es führte dazu aus: „Unklar ist insofern, aus welchen Gründen im Ermittlungsverfahren vom zuständigen Amtsgericht ein Anfangsverdacht angenommen und ein Durchsuchungsbeschluss (betreffend die gesamte Familie des Angeschuldigten) erlassen wurde“ (AG Reutlingen, Beschl. v. 18.8.2022 – 5 Ds 52 Js 9104/22 jug).

Verteidigungsansätze in NCMEC-Verfahren

Dieser Beitrag kann naturgemäß bloß einige, gegebenenfalls ähnlich oder gleichförmig wiederkehrende Konstellationen aufgreifen und grundlegende Ideen für die Verteidigung anbieten. Dabei wird zunächst die Verteidigung gegen den sich unmittelbar aus dem CT-Report ergebenden Vorwurf in den Blick genommen (Punkte 1. und 2.). Sodann werden praktische Ansätze für die Verteidigung vorgestellt, die sich ergeben, wenn die Ermittlungen zum Auffinden von kinder- und jugendpornografischen Bildern und Videos auf Datenträgern führen (Punkte 3. bis 5.), was sehr oft der Fall ist und zum eigentlichen Problem erwächst.

1. Kein Verbreiten bei Upload in Clouds u.Ä.

Das Verbreiten steht bei der Behauptung des NCMEC über einen Upload regelmäßig im Raum, da typischerweise die Versendung bzw. der Upload Gegenstand des CT-Reports ist. Allein schon für die Strafzumessung bedeutsam ist daher die Entkräftung von Verbreitenshandlungen durch die Verteidigung. Denn das Verbreiten wird mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren bestraft (§ 184b Abs. 1 S. 1 Nr. 1 Fall 1 StGB); das Besitzen mit lediglich drei Monaten bis fünf Jahren (§ 184b Abs. 3 Alt. 2 StGB).

Die Tatsache jedoch, dass ein kinderpornografisches Bild auf einen Server von Google (hier: Google Fotos) hochgeladen wird und womöglich Mitarbeiterinnen und Mitarbeiter dieser Gesellschaft illegalen Zugriff auf diese dem Täter zugehörigen Dokumente nehmen können, reicht für den Nachweis eines strafbaren Verbreitens nicht aus (AG Villingen-Schwenningen, Urt. v. 14.8.2019 – 6 Ds 33 Js 2222/19). In diesem Fall beruhte der Tatverdacht auf einer NCMEC-Meldung. Auch das AG Ahaus konnte eine Verbreitenshandlung nicht für den Fall feststellen, dass ein kinderpornografisches Bild lediglich über die Suchmaschine Bing-Image hochgeladen wird, da ein solcher Upload in technischer Hinsicht lediglich auf einen Microsoft-Server erfolge (AG Ahaus, Urt. v. 10.11.2023 – 3 Ls 76/23 [unveröffentlicht]).

Beide Entscheidungen sind zutreffend, denn verboten ist das Zugänglichmachen für die Öffentlichkeit, also Ermöglichung der inhaltlichen Kenntnisnahme durch sinnliche Wahrnehmung durch einen nicht notwendig individualisierten Personenkreis (Ziemann/Ziethen, in: Leipold/Tsambikakis/Zöller, Anwaltkommentar StGB, 3. Aufl. 2020, § 184b StGB Rn 14). Ein Zugänglichmachen im Internet liegt vor, wenn eine Datei zum Lesezugriff ins Internet gestellt und dem Internetnutzer so die Möglichkeit des Zugriffs auf die Datei eröffnet wird (BGH, Urt. v. 27.6.2001 – 1 StR 66/01, BGHSt 47, 55). Verbreiten oder Zugänglichmachen ist bei für Dritte nicht zugänglichen Cloudsystemen oder eben dem bloßen Server eines Anbieters nicht der Fall.

Zudem sollte bei klar abgrenzbarem Personenkreis oder gar einzelnen Chatpartnern die Verbreitung als schwerwiegenderer Tatbestand angegriffen werden, wenn z.B. das Übersenden an einen Chatpartner auf Instagram oder im Facebook-Messenger über die NCMEC-Meldung als Vorwurf im Raum steht. Es verbreitet allein, wer die Inhalte ihrer Substanz nach einem größeren, nach Zahl und Individualität unbestimmten Personenkreis zugänglich macht, indem er sie „auf den Weg bringt“. Die Weitergabe an eine oder mehrere bestimmte Personen genügt hingegen nicht (BGH, Beschl. v. 14.10.2020 – 1 StR 234/20).

2. Vermeintliche Uploads über Suchmaschine Bing/Bing Image

Über die Suchmaschine Bing Image sollte man wissen, dass diese eine Datenkrake ist. Wer Microsoft-Produkte nutzt und nicht genau drauf achtet, sucht gegebenenfalls bereits mit Bing anstatt mit Google. Der Verfasser jedenfalls bemerkte bei einem neuen Laptop im Jahr 2024, dass der neu eingerichtete Computer bei Eingabe von Suchbegriffen oben im Browserfenster automatisch die Suche über Bing führte. In anderen bekannten Fällen zeigte „der Bildschirm“ bzw. das Browserfenster Suchergebnisse an und stellte Bing mit seinen Vorschlägen an erster Stelle zur Auswahl. Es bedarf keinesfalls einer Anmeldung auf einem Microsoft-Konto dafür.

In technischer Hinsicht ist bekannt, dass der der Suchverlauf von Bing gespeichert und auch über mehrere Endgeräte hinweg synchronisiert werden kann. Im Internet finden sich Anleitungen, wie eine solche Synchronisation und Suchverlaufspeicherung deaktiviert werden kann; der datensensible Nutzer hat dies also aktiv zu beachten. Was aber ist eine Synchronisation im obengenannten Sinne? Es ist letztlich ein Upload auf einen Microsoft-Server. Wer sich technisch fortbildet (vgl. dazu vor allem die Fortbildungen von Mirko Laudon, Hamburg), weiß als Verteidiger: Bereits bei der Suche nach legaler Pornografie im Internet können unerwünscht Werbeanzeigen/Pop-up-Fenster mit kinder- oder jugendpornografischen Inhalten auf dem Bildschirm erscheinen. Was aber auf dem Bildschirm zu sehen ist, ist nur zu sehen, weil es im Arbeitsspeicher des Geräts (zwischen-)gespeichert ist (Berufs-ITler mögen diese grob heruntergebrochene Sichtweise verzeihen). Im Falle der Browserverlaufssynchronisation ist es also möglich, dass unerwünschte Inhalte aus dem Zwischenspeicher in den Upload auf den Microsoft-Server geraten – und dem NCMEC gemeldet werden. Diese Meldung begründet dann den Anfangsverdacht, eine kinderpornografische Datei verbreitet zu haben.

Wer nun noch z.B. in einem Beweisantrag nachweist, dass Bing in Negativschlagzeilen geriet, weil es seinen Nutzern bei völlig unverfänglichen Internet-Suchbegriffen als Vorschläge Kinderpornos anbot, macht die Verwirrung zum angeblich klaren Vorwurf beim durchschnittlichen Amtsrichter perfekt (https://­www.heise.de/­news/­Suchmaschine-­Microsoft-­Bing-­empfiehlt-­Bilder-­von-­sexuellem-­Kindesmissbrauch-­ 4272650.html – zuletzt eingesehen am 12.12.2024). Denn wer will bezeugen, dass dieses Problem mittlerweile sicher behoben ist?

Beim AG Ahaus konnte man sich angesichts so vieler technischer Variablen, die auch der IT- bzw. Auswertebeamte der Kreispolizei für lebensnahe, straflose Alternativerklärungen hielt, nicht mehr davon überzeugen, dass es einen bewussten Upload in Form der Suche eines selbst besessenen Bildes gab (AG Ahaus, Urt. v. 10.11.2023 – 3 Ls 76/23 [unveröffentlicht]) – Freispruch!

3. Fehlender Besitzwille

Folge der weiteren Ermittlungen aufgrund anfänglicher NCMEC-Meldung ist nicht selten der Fund inkriminierter Bilder und Videos auf Datenträgern. In einem Automatismus unterstellen Polizei, Staatsanwaltschaft und auch viele Gerichte zunächst, eine Strafbarkeit sei damit nachweisbar. Hier hat die Verteidigung einzuschreiten und zu prüfen, ob die Kenntnis vom Besitz dieser Dateien überhaupt nachweisbar ist. Die Anforderungen, die an die subjektiven Voraussetzungen von Besitz zu stellen sind, sind zwar umstritten. Doch in der Literatur und Rechtsprechung wird ein Besitz- oder Herrschaftswille immerhin gefordert (MüKo-StGB/Hörnle, 4. Aufl. 2021, StGB § 184b Rn 47 m.w.N.).

Herrschende Auffassung in der Rechtsprechung dürfte aktuell sein, dass bedingter Besitzwille genügt. Das OLG Oldenburg führt dazu aus: „Wer [den Besitz von Kinderpornografie] nur für möglich hält, es aber billigend in Kauf nimmt, handelt mit bedingtem Vorsatz. Hat jemand unwissentlich – und damit unvorsätzlich – Besitz an kinderpornografischem Material erlangt, so setzt die Strafbarkeit ein, sobald der Besitzer erkennt oder es unter billigender Inkaufnahme für möglich hält, dass er Kinderpornografie besitzt, und den Besitz sodann gleichwohl fortsetzt. Straflos ist insoweit, wer nach Erkennen des kinderpornografischen Inhalts das Material sofort vernichtet oder bei einer Behörde abliefert (OLG Oldenburg, Urt. v. 29.11.2010 – 1 Ss 166/10 Rn 5). Zumindest bedingter Besitzwille genügt auch (BGH, Beschl. v. 19.8.2015 – 5 StR 275/15; LG Frankfurt am Main, Beschl. v. 13.2.2023 – 5/6 KLs 1/22; LG Freiburg, Urt. v. 11.7. 2011 – 7 Ns 81 Js 1434/09).

Verteidigungsansätze ergeben sich also vor allem dann, wenn der Mandant im Verfahren sich noch nicht zum Vorwurf eingelassen hat oder den Vorwurf in einer Art und Weise abgestritten hat, die einen Rückschluss auf seine billigende Inkaufnahme oder gar Kenntnis nicht möglich machen. Jedoch können Anhaltspunkte dafür, dass ein bewusster Besitz entsprechender Daten angestrebt oder zumindest billigend in Kauf genommen wird, darin gesehen werden, wenn ein Täter an verschiedenen Tagen gezielt Seiten mit entsprechenden kinder- oder jungendpornografischen Abbildungen sucht und aufruft. Kann dieses nicht festgestellt werden, dann kann auch nicht angenommen werden, dass er sich deren Existenz bewusst war (LG Frankfurt am Main a.a.O.).

4. Automatischer System-Download/Chatgruppen

Eine Untergruppe fehlender Kenntnis stellt es dar, ist aber dogmatisch nicht von Bedeutung, wenn inkriminierte Dateien sich in Chats befinden, aber gar nicht abgerufen geschweige denn überhaupt zur Kenntnis genommen wurden. Wer in z.B. einer WhatsApp-Gruppe theoretisch ein Bild durch ein anderes Mitglied empfangen hat, muss dies nicht zwingend wissen. Bei jeglicher fehlender Reaktion auf das Bild liegt ein Indiz dafür vor. Die Gruppe könnte aber auch eine Zeit lang nicht genutzt worden sein (Mandant beteiligt sich z.B. erst nach Tagen wieder mit einem Beitrag über unverfängliche Themen) oder generell stumm geschaltet sein. Prozesserfahrungsgemäß bereitet es den Strafverfolgungsbehörden Schwierigkeiten, hier jedes Detail nachzuvollziehen.

Auch kann die Problematik der Einstellung des automatischen Downloads von Dateien durch Messengerdienste unter Umständen für die fehlende Kenntnis sprechen. Wird ein Chat mit den strafbaren Inhalten nicht vorgefunden, so gibt es mitunter noch Vorschaubilder („Thumbnails“) oder vollständig abrufbare Systemordner. Es versteht sich nicht von selbst, dass den Millionen Nutzern dieser Dienste diese Funktionen und ihre Folgeprobleme bekannt sind. Der engagierte Strafverteidiger darf immer wieder feststellen, dass er bei Ansprache dieser Problematik in der Hauptverhandlung in ohnmächtig starrende Gesichter der Berufsjuristen, Schöffen und Urkundsbeamten blickt. Nicht selten sind auch die Auswertebeamten mit der Thematik überfordert und können gar keine Angaben über die konkrete Messengerfunktionseinstellung machen und ob das Bild/Video automatisch oder wissentlich aktiv auf das Mobiltelefon geladen wurde.

Gercke (ZUM 2019, 798, 807) hat die Anforderungen an eine Verurteilung auf den Punkt gebracht, wenn er fordert: „Alleine aus dem Umstand, dass ein kinder- oder jugendpornografisches Bild systemseitig in einem Ordner gespeichert wurde, folgt kein Nachweis einer Kenntnis, die die Grundlage des Besitzwillens ist. Insbesondere hat das Gericht dann zu klären, ob die Datei nur dann in dem Ordner abgelegt wird, wenn der Nutzer sie aktiv gespeichert hat, oder aber sie systemseitig automatisch abgelegt wird, wenn der Nutzer das Bild zuvor angesehen hat, oder ob eine Ablage selbst dann erfolgen kann, wenn ein Bild übersendet wird, der Nutzer aber die Messenger-App gar nicht aktiv benutzt. Für den Nachweis eines Besitzwillens und einer Kenntnis reicht die systemseitige Speicherung regelmäßig nicht aus.“ (Bezugnehmend auf Empfangsverzeichnisse des Messengers „Telegram“; so auch LG Frankfurt am Main, Beschl. v. 13.2.2023 – 5/6 KLs 1/22; AG Bocholt, Beschl. v. 23.3.2017 – 3 Ds 581/16).

5. Gelöschte Dateien

Wurden Dateien gelöscht, kommt es darauf an, wo sie auf dem Rechner weiterbestehen. Die unkompliziert wieder rückgängig zu machende Verschiebung in den sog. Papierkorb hebt den Besitz nicht auf. Anders verhält es sich, wenn Dateien nur an Orten fortbestehen, die dem durchschnittlichen Computernutzer nicht zugänglich sind. Dann besteht kein Besitzverhältnis mehr, und zwar auch dann nicht, wenn der konkrete Beschuldigte aufgrund überdurchschnittlicher Kenntnisse in der Lage wäre, die Inhalte wieder sichtbar zu machen (BGH, Urt. v. 28.3.2018 – 2 StR 311/17; MüKo-StGB/Hörnle, 4. Aufl. 2021, StGB § 184b Rn 46; Schönke/Schröder/Eisele, 30. Aufl. 2019, § 184b Rn 41). Besitzaufhebung ergibt sich damit ohne Weiteres aus dem Umstand einer Löschung, wenn die Wiederherstellung allein mittels polizeilicher Spezialsoftware möglich war.

Noch immer begegnen Strafverteidigern in Ermittlungsakten sogenannte polizeiliche Auswerteberichte, die Mindestanforderungen nicht genügen. Das heißt, es fehlt z.B. an einer Differenzierung von gelöschten/wiederhergestellten Dateien oder der konkreten Bezeichnung des Fundortes der Datei auf dem Datenträger. Der Verteidiger kommt in solchen Fällen nicht umhin, auf eine genauere Auswertung zu drängen.

Exkurs: Notwendige Verteidigung

Nicht jeder Beschuldigte einer derartigen Tat verfügt über die finanziellen Mittel für eine ordnungsgemäße Verteidigung. Der Praktiker sollte sich aber von der „Herabstufung“ der Tatbestände der Kinderpornografie vom Verbrechen zum Vergehen und der Jugendpornografie als Vergehen nicht darüber täuschen lassen, dass regelmäßig ein Fall notwendiger Verteidigung ab dem ersten Bild vorliegen dürfte. Der Beiordnungsgrund ergibt sich ganz unbeachtlich des zwischenzeitlichen Verbrechenstatbestands nach ganz h.M. der Rechtsprechung aus dem Umstand schwieriger Sachlage gemäß § 140 Abs. 2 StPO (zum bisher einzig bekannten Ausreißer LG Hannover, Beschl. v. 24.9.2024 – 40 Qs 73/24).

Aufgrund der Besonderheit des Verfahrensgegenstandes ist in einem sog. Kinderpornografieverfahren dem Beschuldigten ein Verteidiger als Pflichtverteidiger wegen der Schwierigkeit der Sachlage gemäß § 140 Abs. 2 StPO beizuordnen. Denn der Beschuldigte kann in diesen Fällen nicht selbst, sondern nur durch einen Verteidiger Akteneinsicht nehmen. Die pornografischen Bilder betreffen den Intimbereich der abgebildeten Personen, der vor einer Besichtigung des Angeklagten außerhalb der Hauptverhandlung gewahrt werden soll, sodass ihm dieses Recht verwehrt werden müsste. Die Bilder bilden jedoch den Kern des Anklagevorwurfs, sodass sich der Angeklagte ohne deren Anschauung nicht hinreichend verteidigen könnte. In diesem Fall gebietet § 140 Abs. 2 StPO die Beiordnung eines Pflichtverteidigers, der die Bilder in der Geschäftsstelle sichten und den Angeklagten von seinen Erkenntnissen unterrichten kann (LG Frankfurt (Oder), Beschl. v. 29.12.2021 – 24 Qs 60/21; LG Halle, Beschl. v. 29.6.2020 – 10a Qs 59/20 sowie Beschl. v. 12.8.2020 – 10a Qs 77/20; LG Hanau, Beschl. v. 25.7.2022 – 4 Qs 4/22; AG Wuppertal, Beschl. v. 5.11.2020 – 14 Gs 148/20; spätestens sobald sicher ist, dass KiPo-Dateien festgestellt werden: LG Bielefeld, Beschl. v. 15.12.2020 – 2 Qs 406/20). Das LG Zwickau (Beschl. v. 28.7.2021 – 1 Qs 134/21) führt zusätzlich zu dem intimen Bildmaterial als Schwierigkeit der Sachlage an, „dass ein Großteil der Beweismittel lediglich in englischer Sprache abgefasst vorliegen und die Bewertung der Beweismittel ganz offensichtlich nicht einfach ist“. Das AG Frankfurt a.M. entschied ebenso und gerade in Ansehung der Herabstufung zum Vergehenstatbestand. Die Sachlage sei weiter schwierig, weil die Ermittlungsergebnisse zumindest auch auf dem nicht allgemeinverständlich und zudem in englischer Sprache verfassten CT-Report beruhten und daher vollständige Aktenkenntnis erfordern (AG Frankfurt a.M., Beschl. v. 12.7.2024 – 4881 Js 215385/24-931 Gs).

Einzig (soweit dem Verfasser bekannt) das LG Hannover sieht es hingegen völlig anders. Zwar könne die die kinderpornografischen Inhalte enthaltende Beweismittelakte, die getrennt von der Hauptakte geführt werde, tatsächlich nicht an den Beschuldigten herausgegeben werden. Die Hauptakte selbst sei aber auch für den Beschuldigten einsehbar. Die Beweismittelakte könne er bei der Staatsanwaltschaft einsehen. Aus diesem Grund sei die Effektivität der Verteidigung nicht dadurch gefährdet, dass dem Beschuldigten die Beweismittelakte nicht überlassen werden könne (LG Hannover, Beschl. v. 24.9.2024 – 40 Qs 73/24). Mit der h.M. setzt sich das LG Hannover nicht in einem Wort auseinander. Diese Entscheidung bleibt daher hoffentlich ein Einzelfall, denn sie ist „falsch und lebensfremd“ (Burhoff, in: https://­blog.burhoff.de/­2024/­10/­pflichti-­i-­37/).

Für die Praxis

Die praktische Bedeutsamkeit der Meldungen des National Center für Missing and Exploited Children für die Strafverteidigung ergibt sich ohne Weiteres aus der Vielzahl jährlicher Meldungen und darauf basierender Strafverfahren.

Der Verteidigung bietet sich ein bunter Strauß an Werkzeugen aus technischen Begebenheiten und Rechtsprechung. Insbesondere bei nur geringem Umfang von Bildmaterial beim Beschuldigten steigen die Chancen einer Freispruchverteidigung. Bleibt allein der Vorwurf aus der NCMEC-Meldung bestehen, gelingt vielleicht in der Strafzumessung die Abwendung des schwerwiegenderen Verbreitensvorwurfs.

Strafverteidigerinnen und Strafverteidiger kommen dabei nicht umhin, sich in der Kommentierung und Rechtsprechung zu orientieren. Hinzu kommt es, sich mit Kollegen oder gegebenenfalls technikaffinen Berufsgruppen über die Funktionsweise von Messengerdiensten, Computern und deren Schwachstellen auszutauschen. Wer noch keinen Bing-Fall hatte, sollte sich z.B. mal umhören.

Unverzichtbar ist auch das Gespür für die Details im CyberTipline-Report. Wer nicht dazu bereit ist, sich diesen durchzulesen, später auch mal einen Beweismittelordner anzuschauen oder sich die technisch notwendigen Kenntnisse zur Bearbeitung eines Auswerteberichts anzueignen, sollte das Mandat lieber weitergeben.

Spannend – oder auch nicht – bleibt die bisher nahezu unbehandelte Problematik von Beweisverwertungsverboten aufgrund der Art und Weise der völlig undurchsichtigen Datenerlangung des BKA durch das NCMEC. Man sollte sich nicht dadurch entmutigen lassen, dass das BVerfG die EncroChat-Verwertung abgesegnet hat (vgl. BVerfG, Beschl. v. 1.11.2024 – 2 BvR 684/22). Auch nicht dadurch, dass das BVerfG die Frage im Oktober 2024 nicht konkret diskutiert hat. Denn letztlich sind die NCMEC-Fälle mit ihrer rein automatischen Datenverarbeitung inhaltlich woanders angesiedelt. Ferner sei konstatiert, dass das NCMEC im Ergebnis in das Recht auf Privatsphäre, Datenschutz sowie die einschlägigen Grundrechte der EU-Grundrechtecharta eingreift; denn Online-Nutzer könnten sich gedrängt sehen, ihr legales Nutzungsverhalten einzuschränken, um sich nicht der Gefahr von Fehlerkennungen auszusetzen (BeckOK-StPO/Ferner, a.a.O.).

Der Rechtsstaat hätte es verdient, wenn sich ähnlich dem AG Reutlingen mutige Richter nicht durch Algorithmen in ihrer Wahrheitsfindung entmündigen lassen und zumindest entsprechend weiter aufklären – oder den Deckel draufmachen, wo sich NCMEC nicht in die Karten blicken lässt.