Wenn morgens um sechs die Kripo klingelt — und keiner weiß warum
In meiner Praxis beginnen Verfahren nach § 184b StGB fast nie mit einer Anzeige aus dem Bekanntenkreis. Sie beginnen mit einem Durchsuchungsbeschluss, der aus heiterem Himmel kommt. Der Mandant sitzt mir gegenüber und sagt: „Ich habe nichts gemacht. Woher wissen die überhaupt von mir?”
Die Antwort führt fast immer zu einer dieser fünf Quellen: Eine Meldung aus den USA über das NCMEC an das BKA. Eine IP-Zuordnung nach einer Bestandsdatenauskunft. Ein Treffer eines Cloud-Scanners bei Google, Microsoft oder Meta. Ein Weiterleitungsvorgang in einer WhatsApp- oder Telegram-Gruppe. Oder ein P2P-Treffer aus klassischer Internetermittlung der Polizei.
Diese Seite erklärt, wie der Anfangsverdacht in § 184b-Verfahren technisch zustande kommt, welche rechtlichen Angriffsflächen sich daraus ergeben und welche Einwände in der Verteidigung tatsächlich tragen — und welche nicht. Wer versteht, wie die Daten zur Akte kommen, versteht auch, wo sie wieder angreifbar werden.
NCMEC-Meldung: Der häufigste Auslöser
Das National Center for Missing & Exploited Children (NCMEC) ist eine private US-Organisation mit Sitz in Alexandria, Virginia. US-Gesetz (18 U.S.C. § 2258A) verpflichtet alle in den USA ansässigen Anbieter elektronischer Kommunikationsdienste — also Google, Meta (Facebook, Instagram, WhatsApp), Microsoft (OneDrive, Outlook, Xbox Live), Apple, Discord, Snapchat, X und viele andere —, jeden Verdacht auf Kinderpornographie unverzüglich an das NCMEC zu melden. Wer das unterlässt, macht sich nach US-Recht strafbar.
Das NCMEC nimmt diese CyberTipline-Reports entgegen, prüft sie grob, ordnet sie geographisch zu und leitet sie an die zuständige nationale Strafverfolgungsbehörde weiter. Für Deutschland ist das das Bundeskriminalamt (BKA) — dort die Zentralstelle für die Bekämpfung von Sexualdelikten zum Nachteil von Kindern und Jugendlichen. Das BKA erhielt 2024 über 205.000 NCMEC-Meldungen (2023: rund 180.000), verteilt sie nach örtlicher Zuständigkeit an die Landeskriminalämter und löst damit die überwiegende Zahl aller § 184b-Ermittlungsverfahren aus.
Was genau steht in einem CyberTipline-Report?
Ein Report enthält typischerweise: die IP-Adresse des Nutzers zum Zeitpunkt des Uploads, Zeitstempel, die Account-Kennung (E-Mail, Username), die übermittelten Bild-/Videodateien oder deren Hash-Werte, manchmal Geräteinformationen. Was er nicht enthält: eine forensisch saubere Dokumentation, wie genau der Treffer zustande kam, mit welchem Algorithmus die Datei als kinderpornographisch eingestuft wurde, ob ein Mensch vor der Meldung draufgeschaut hat, und ob die Datei die deutschen Anforderungen an § 184b StGB (Wirklichkeitscharakter, Tatbestandsmerkmale) tatsächlich erfüllt.
Die Verwertbarkeit in Deutschland — ein Graubereich
Die Rechtsprechung der Oberlandesgerichte und der Amtsgerichte behandelt NCMEC-Meldungen einhellig als zulässige Grundlage für einen Anfangsverdacht im Sinne des § 152 Abs. 2 StPO. Ein Durchsuchungsbeschluss nach § 102 StPO wird darauf regelmäßig gestützt. Die entscheidende Frage ist aber eine andere: Taugt der Report auch als Beweismittel in der Hauptverhandlung?
Hier wird es dünn. Der CyberTipline-Report ist ein Dokument einer privaten US-Stiftung, die ihre Daten von einem privaten US-Konzern erhalten hat, der sie durch proprietäre Algorithmen erzeugt hat, deren Funktionsweise die Verteidigung nicht einsehen kann. Die Integrität der Meldekette lässt sich in aller Regel nicht forensisch rekonstruieren. In der Praxis wird das Problem umschifft, indem das BKA die gemeldeten Dateien sicherstellt und später in der Wohnung des Beschuldigten wiederfindet — dann ist die NCMEC-Meldung nur noch Auslöser, der eigentliche Beweis kommt aus der Durchsuchung.
Verteidigungsansatz: Wenn die Wohnungsdurchsuchung nichts ergibt oder nur Cache-Fragmente findet, steht und fällt das Verfahren mit dem Report selbst. Dann greift die Forderung nach Vorlage des kompletten Original-Reports, Offenlegung der Hash-Algorithmen und gegebenenfalls Widerspruch gegen die Verwertung (§ 257 StPO).
Wie das BKA an meine IP-Adresse kommt
Die NCMEC-Meldung liefert eine IP-Adresse. Eine IP-Adresse ist keine Identität — sie ist eine Nummer, die einem Internetanschluss für einen bestimmten Zeitraum zugewiesen war. Um daraus einen Namen zu machen, braucht das BKA den Provider.
§ 100g StPO — Verkehrsdatenauskunft
Dynamische IP-Adressen, wie sie bei Privatkunden die Regel sind, zählen rechtlich zu den Verkehrsdaten. Der Zugriff darauf ist nur unter den Voraussetzungen des § 100g StPO zulässig: richterliche Anordnung (bei Gefahr im Verzug staatsanwaltschaftlich), Verdacht einer Straftat von auch im Einzelfall erheblicher Bedeutung, Verhältnismäßigkeit. Für § 184b StGB bejahen die Ermittlungsrichter diese Schwelle routinemäßig.
§ 100j StPO — Bestandsdatenauskunft
Sobald der Provider die IP-Adresse einem Anschluss zugeordnet hat, wird die eigentliche Bestandsdatenauskunft (Name, Anschrift, Geburtsdatum des Anschlussinhabers) über § 100j StPO eingeholt. Die Eingriffsschwelle ist niedriger als bei § 100g StPO; bei einer Verfolgung nach § 184b StGB wird sie von Ermittlungsrichtern routinemäßig bejaht.
Das Speicherproblem — und warum es zunehmend keines mehr ist
Der Knackpunkt war über Jahre: Provider dürfen dynamische IP-Adressen nicht beliebig lange speichern. Viele deutsche Zugangsanbieter löschten sie nach wenigen Tagen. Kam die NCMEC-Meldung spät, war die Zuordnung nicht mehr möglich — und das Verfahren endete, bevor es begonnen hatte.
Das hat sich geändert. Der EuGH hat am 30. April 2024 (C-470/21, La Quadrature du Net) entschieden, dass die allgemeine Speicherung von IP-Adressen zur Bekämpfung von Straftaten unionsrechtlich zulässig sein kann, wenn die Speicherung so organisiert ist, dass keine Profile über das Online-Verhalten gebildet werden können. Der Bundesrat hat am 27. September 2024 einen hessischen Gesetzentwurf zur Mindestspeicherung von IP-Adressen und Portnummern für einen Monat eingebracht; die Bundesregierung hält parallel am Quick-Freeze-Modell fest. Der Gesetzgebungsprozess ist nicht abgeschlossen — praktisch speichern viele deutsche Provider IP-Adressen aber faktisch bereits wieder mehrere Tage bis Wochen, zu Abrechnungszwecken oder auf ausdrückliche Anordnung.
Verteidigungsansatz: Wurde die IP-Zuordnung auf Basis einer Speicherung vorgenommen, die im konkreten Zeitpunkt rechtlich zweifelhaft war (z.B. vor der EuGH-Entscheidung, bei spezifischen Providern ohne Rechtsgrundlage), lohnt die genaue Prüfung, ob ein Beweisverwertungsverbot in Betracht kommt. Die Rechtsprechung ist hier uneinheitlich.
Klassische Internetermittlung — auch ohne Meldung
Nicht jedes § 184b-Verfahren beginnt mit einer Meldung aus den USA. Die deutschen Polizeibehörden ermitteln auch eigenständig — und zunehmend professionell.
P2P- und Tauschbörsen-Überwachung
In Filesharing-Netzwerken (BitTorrent, eDonkey/eMule, Gnutella) sind die IP-Adressen aller Teilnehmer, die eine Datei zum Tausch anbieten, öffentlich sichtbar. Spezielle Ermittlungssoftware des BKA und der LKAs (unter anderem die Tools „GripsTK” und „perkeo”) beobachtet solche Netzwerke kontinuierlich, gleicht die angebotenen Dateien gegen interne Hash-Datenbanken bekannter kinderpornographischer Inhalte ab und protokolliert automatisch Uhrzeit, IP und Datei. Die weitere Ermittlung läuft dann wie beschrieben: § 100g, § 100j StPO, Durchsuchungsbeschluss.
Verdeckte Ermittler in Foren und Chats
In einschlägigen Foren im Clear Web und im Tor-Netzwerk sind verdeckt agierende Ermittler (§ 110a StPO) oder nicht offen ermittelnde Polizeibeamte unterwegs. Sie dokumentieren Uploads, erhalten Zugang zu geschlossenen Bereichen und führen Kontakte zu einschlägig Aktiven. Aus solchen Ermittlungen stammen viele der Verfahren, die später als „Tatkomplex Elysium”, „Boystown” oder ähnliches in den Medien landen.
Öffentliche Plattformen
Bild- und Videoportale, die keinen US-Sitz haben und keine NCMEC-Pflicht trifft, werden von den deutschen Behörden in Eigenregie überwacht. Content-Moderatoren von Plattformen, Hinweise aus der Bevölkerung und technische Crawler liefern hier den Anfangsverdacht.
WhatsApp, Telegram und Signal — die Gruppen-Falle
Die häufigste Frage junger Mandanten in meiner Praxis: „Ich war in einer Gruppe, da hat irgendwer solche Bilder gepostet — bin ich jetzt Täter?”
Die ehrliche Antwort: Sie können es sein. Drei Konstellationen muss man auseinanderhalten.
Automatischer Download auf dem eigenen Gerät
WhatsApp lädt standardmäßig alle Medien einer Gruppe auf das Handy. Sobald das Bild im Galerie-Ordner liegt, besteht nach herrschender Rechtsprechung Besitz im Sinne von § 184b Abs. 3 StGB — denn der Nutzer hat die jederzeitige Zugriffsmöglichkeit. Der BGH hat die Anforderungen an den Besitzbegriff in BGH, Urteil vom 18. Januar 2012 – 2 StR 151/11 ausformuliert: Besitz liegt vor, wenn der Beschuldigte um die Existenz der Datei weiß und sie jederzeit abrufen oder vorzeigen kann.
Entscheidend ist der Vorsatz. Der Beschuldigte muss zumindest bedingten Vorsatz hinsichtlich des Besitzes und des kinderpornographischen Charakters haben. Wer ein Bild geöffnet, erkannt und auf dem Gerät belassen hat, erfüllt das praktisch immer. Wer eine Gruppenbenachrichtigung nicht aufgerufen hat und die Datei nur passiv im Hintergrund auf dem Speicher gelandet ist, bewegt sich in einem Graubereich, der verteidigbar ist — aber nur mit belastbarer technischer Rekonstruktion.
Weiterleiten in der Gruppe
Wer ein kinderpornographisches Bild aus einer Gruppe weiterleitet, erfüllt den deutlich schwereren Tatbestand der Verbreitung nach § 184b Abs. 1 Nr. 1 StGB (Mindeststrafe sechs Monate, seit 28. Juni 2024). Ob das „nur” an eine einzige andere Person geht oder in eine weitere Gruppe, spielt für den Tatbestand keine Rolle. Die Vorstellung, das Weiterleiten in einem Chat sei „privat” und deshalb straflos, ist einer der teuersten Irrtümer.
Gruppen-Admins
Wer eine Gruppe administriert, in der andere kinderpornographische Inhalte teilen, haftet nach der Rechtsprechung nicht automatisch. Strafbarkeit nach § 184b StGB setzt eigenen Vorsatz hinsichtlich eigener Tathandlungen voraus. Unterlassensstrafbarkeit kommt in Betracht, wenn eine Garantenstellung besteht — was bei einem schlichten Gruppenadmin eines Messengers gerichtlich noch nicht abschließend geklärt ist und im Einzelfall eng geprüft wird. Die Risikozone liegt hier eher im Ordnungswidrigkeitenrecht (Digital Services Act) und in der Frage, ob der Admin aktiv geduldet oder sogar bestärkt hat.
Was mit „Chatkontrolle” auf Sie zukommt
Die EU arbeitet seit 2022 an einer Verordnung zur Prävention und Bekämpfung von sexuellem Missbrauch von Kindern (CSA-Verordnung, „Chatkontrolle”), die Messenger verpflichten soll, Nachrichten vor Versand zu scannen — das sogenannte Client-Side-Scanning. Nach heftigem Widerstand hat die dänische Ratspräsidentschaft das verpflichtende Scanning verschlüsselter Kommunikation im Herbst 2025 aus dem Entwurf genommen. Am 26. November 2025 einigte sich der Ausschuss der Ständigen Vertreter (AStV) auf eine Ratsposition, die auf verpflichtende Altersverifikation und freiwilliges Scanning hinausläuft; der Trilog steht noch aus, die Verordnung ist nicht in Kraft. Die praktischen Folgen für deutsche Strafverfahren sind derzeit überschaubar — die Entwicklung aber nicht abgeschlossen und verteidigungsrelevant, sobald die Verordnung in Kraft tritt.
Cache und Thumbnails — der Besitzbegriff in der Rechtsprechung
Eine der am meisten missverstandenen Tatbestandsfragen des § 184b StGB ist der Besitz an Cache-Dateien.
Wer eine Webseite aufruft, speichert sein Browser automatisch Teile der angezeigten Seite — Bilder, Videofragmente, Vorschaubilder — im Browser-Cache auf der Festplatte. Löscht der Nutzer den Verlauf nicht, liegen diese Dateien mitunter monatelang auf dem Gerät. Die forensische Auswertung findet sie auch dann noch, wenn der Nutzer die Originalseite längst vergessen hat.
Die BGH-Linie
Der BGH hat in BGH, Beschluss vom 10. Juli 2008 – 3 StR 215/08 zunächst entschieden, dass der automatische Speichervorgang im Cache ausreicht, um Besitz zu begründen, wenn der Nutzer um die Speicherung weiß und die Dateien jederzeit abrufen kann. In BGH, Urteil vom 18. Januar 2012 – 2 StR 151/11 hat der Senat diese Linie präzisiert: Besitz verlangt, dass der Beschuldigte die Existenz der Dateien kennt — reines Anschauen einer Webseite, ohne Wissen um den Cache-Mechanismus und ohne manuelle Speicherung, trägt den Besitzbegriff nicht.
Das klingt einfach, ist in der Praxis aber zäh. Die Rechtsprechung legt die Anforderungen an die Kenntnis regelmäßig großzügig zu Lasten des Beschuldigten aus: Wer ein technikaffiner Nutzer ist, wer Cache-Dateien schon einmal gelöscht hat, wer überhaupt weiß, dass es so etwas wie einen Browser-Cache gibt, dem wird die Kenntnis oft unterstellt.
Thumbnails und Vorschaubilder
Noch komplizierter sind Thumbnails. Das Betriebssystem erstellt automatisch verkleinerte Vorschauversionen von Bildern (Windows: thumbs.db, macOS: .DS_Store, Android: .thumbnails). Diese bleiben auch dann erhalten, wenn der Nutzer das Originalbild gelöscht hat. Die Forensik findet sie regelmäßig — und die Staatsanwaltschaft wertet sie als Beleg für einen früheren bewussten Download.
Hier setzt die Verteidigung an: Der Besitz von Thumbnails setzt voraus, dass der Nutzer um die Existenz dieser Systemdateien wusste. Bei juristischen Laien, die ihr Handy lediglich als Alltagsgerät verwenden, ist das regelmäßig nicht der Fall — und der Vorsatz entsprechend angreifbar.
Cloud-Scanning: iCloud, Google Photos, OneDrive, Dropbox
Ein erheblicher Teil aller NCMEC-Meldungen stammt nicht aus klassischen Kommunikationsdiensten, sondern aus Cloud-Speichern.
PhotoDNA und Hash-Datenbanken
Microsoft hat 2009 die Technologie PhotoDNA entwickelt: Fotos werden in robuste Hash-Werte umgerechnet, die gegen eine zentrale Datenbank bekannter kinderpornographischer Bilder (gepflegt vom NCMEC) abgeglichen werden. Die Hashwerte überstehen Bildkompression, Farbveränderungen und leichte Zuschnitte. Google, Microsoft, Meta, Dropbox, Box und viele weitere Anbieter setzen PhotoDNA (oder vergleichbare Systeme wie Googles „Content Safety API”) zum automatischen Scannen der Inhalte ihrer Kunden ein.
Das Scannen erfolgt serverseitig, auf den Cloud-Servern des Anbieters — nicht auf dem Endgerät des Nutzers. Sobald ein Treffer ausgelöst wird, erfolgt die NCMEC-Meldung.
Apple — vom Plan zurückgetreten
Apple hatte 2021 angekündigt, ein on-device CSAM-Scanning auf iPhones einzuführen: Fotos sollten schon auf dem Gerät selbst gegen Hash-Datenbanken geprüft werden, bevor sie in die iCloud hochgeladen werden. Nach massiver Kritik von Bürgerrechtsorganisationen, Sicherheitsforschern und Datenschützern hat Apple das Projekt im Dezember 2022 eingestellt. Aktuell scannt Apple iCloud-Fotos nicht aktiv auf CSAM — weshalb Apple im Verhältnis zu Google, Microsoft und Meta deutlich weniger NCMEC-Meldungen generiert. Rechtlich bedeutet das: Wer iCloud nutzt, wird seltener durch Hash-Scan erwischt als der Google-Photos-Nutzer — aber häufiger, wenn andere Nutzer Inhalte gemeldet haben.
Rechtliche Verwertung in Deutschland
Cloud-Treffer werden in Deutschland wie NCMEC-Meldungen behandelt: Sie begründen den Anfangsverdacht, tragen aber selten allein die Verurteilung. Das BKA sichert die gemeldeten Dateien und bekommt über § 100g/100j StPO die IP- und Account-Zuordnung. Die eigentliche Beweissicherung läuft dann über die Durchsuchung und die forensische Auswertung der Endgeräte.
Interessant ist der datenschutzrechtliche Einwand: Das Scannen privater Cloud-Inhalte durch US-Konzerne ohne konkreten Anlass könnte je nach Auslegung gegen europäisches Recht (DSGVO, E-Privacy-Richtlinie, GRCh) verstoßen. Die bisherige deutsche Rechtsprechung hat diese Einwände gegen die Verwertung in Strafverfahren nicht durchgreifen lassen — die Diskussion ist aber offen, und in speziell gelagerten Einzelfällen kann ein Beweisverwertungsverbot in Betracht kommen.
Rechtsprechungs- und Normennachweise
- § 184b StGB i.d.F. v. 28. Juni 2024 (BGBl. 2024 I Nr. 213) — Mindeststrafe Besitz drei Monate, Verbreitung sechs Monate, Rückstufung zum Vergehen
- §§ 100g, 100j StPO — Verkehrs- und Bestandsdatenauskunft
- § 102 StPO — Durchsuchung
- § 110a StPO — Verdeckter Ermittler
- 18 U.S.C. § 2258A — US-Meldepflicht der Kommunikationsanbieter an NCMEC
- EuGH, Urteil vom 30. April 2024 — C-470/21 (La Quadrature du Net, Hadopi) — IP-Speicherung zur allgemeinen Strafverfolgung zulässig
- BGH, Beschluss vom 10. Juli 2008 — 3 StR 215/08 (Besitz an Cache-Dateien)
- BGH, Urteil vom 18. Januar 2012 — 2 StR 151/11 (Kenntniserfordernis beim Cache-Besitz)
- BGH, Beschluss vom 19. März 2013 — 1 StR 8/13 (keine Strafbarkeit rein verbaler E-Mail-Schilderungen nach § 184b StGB)
- BVerfG, Beschluss vom 14. Februar 2023 — 1 BvR 2845/16 (Unanwendbarkeit §§ 175, 176 TKG a.F.)
- Bundesrat-Drs. 180/24 — Gesetzentwurf IP-Mindestspeicherung (hessische Initiative, 27. September 2024)
