top of page

Generative KI als strafprozessuales Ermittlungsinstrument – Eine Stellungnahme zum Referentenentwurf des BMJV

  • Autorenbild: Johannes Koch
    Johannes Koch
  • vor 2 Tagen
  • 6 Min. Lesezeit

Entwurf eines Gesetzes zur Änderung der Strafprozessordnung – digitale

Ermittlungsmaßnahmen nach §§ 98d, 98e StPO-E vom 29.04.2026.


I. Einleitung

Das Bundesministerium der Justiz und für Verbraucherschutz hat einen Referentenentwurf vorgelegt, der die Strafprozessordnung um zwei neue Ermächtigungsgrundlagen erweitern soll: § 98d StPO-E für den automatisierten biometrischen Abgleich mit öffentlich zugänglichen Internetdaten sowie § 98e StPO-E für die automatisierte verfahrensübergreifende Datenanalyse. Der Entwurf reagiert damit auf eine seit Jahren bestehende Rechtslücke: Strafverfolgungsbehörden sind bislang auf manuelle Ermittlungsmethoden und die allgemeinen Ermittlungsgeneralklauseln der §§ 161, 163 StPO angewiesen, wenn sie öffentlich zugängliche Daten aus dem Internet mit verfahrensrelevanten biometrischen Merkmalen abgleichen wollen. Dies führt insbesondere bei großen Datenmengen zu erheblichen Effizienzverlusten.


Von besonderer rechtlicher Tragweite ist dabei der Umstand, dass der Entwurf ausdrücklich den Einsatz von KI-Systemen im Sinne des Art. 3 Nr. 1 der Verordnung (EU) 2024/1689 (KI-VO) ermöglichen soll. Damit stellt sich erstmals im deutschen Strafprozessrecht die Frage, unter welchen Bedingungen generative und anderweitig automatisierte KI-Anwendungen als Ermittlungsinstrument zulässig sind.


II. Regelungsgegenstand der §§ 98d, 98e StPO-E

§ 98d StPO-E schafft eine Rechtsgrundlage für den automatisierten Abgleich biometrischer Daten aus einem laufenden Strafverfahren – etwa Lichtbilder oder Videosequenzen – mit im Internet öffentlich zugänglichen biometrischen Daten. Erfasst sind Daten, die ohne besondere Zugangsbeschränkung abrufbar sind, einschließlich solcher, die nach Registrierung oder Entgeltzahlung genutzt werden können. Nicht erfasst ist hingegen Privatkommunikation sowie ein Echtzeit-Abgleich mit Live-Streams oder Webcam-Aufnahmen, der gemäß § 98d Abs. 1 Satz 2 StPO-E ausdrücklich untersagt wird.


§ 98e StPO-E ergänzt dies um die Befugnis zur verfahrensübergreifenden Datenanalyse auf bestehenden polizeilichen Analyseplattformen. Dabei dürfen in Datei- und Informationssystemen der Polizei rechtmäßig gespeicherte Daten – Vorgangsdaten, Falldaten, Daten aus polizeilichen Informationssystemen und dem polizeilichen Informationsaustausch – zusammengeführt und mittels automatisierter Anwendungen weiterverarbeitet werden. Eine direkte Anbindung an nichtpolizeiliche Register oder Internetdienste ist nach § 98e Abs. 3 StPO-E ausgeschlossen.


III. Der Einsatz generativer und automatisierter KI: Rechtlicher Rahmen

1. Verhältnis zur KI-Verordnung

Der Entwurf erkennt ausdrücklich an, dass unter dem Begriff der „automatisierten Anwendung zur Datenverarbeitung" auch KI-Systeme im Sinne der KI-VO fallen. Für den Bereich der biometrischen Fernidentifizierung handelt es sich dabei um sogenannte Hochrisiko-KI-Systeme gemäß Art. 6 Abs. 2 i.V.m. Anhang III Nr. 1 Buchst. a KI-VO. Diese unterliegen bereits unmittelbar geltenden unionsrechtlichen Anforderungen, die der Entwurf lediglich flankiert, nicht jedoch ersetzt.


Zu den unmittelbar anwendbaren Vorgaben zählen insbesondere: ein verpflichtendes Risikomanagementsystem nach Art. 9 KI-VO, strenge Anforderungen an die Qualität und Repräsentativität der Trainingsdaten nach Art. 10 KI-VO sowie Transparenzpflichten nach Art. 13 KI-VO. Ab dem 1. August 2026 gelten zudem die verfahrensrechtlichen Sondervorgaben des Art. 26 Abs. 10 KI-VO, darunter die Pflicht zur vorherigen oder unverzüglichen richterlichen oder behördlichen Genehmigung des Abgleichs.


Absolut verboten bleibt nach Art. 5 Abs. 1 Buchst. e KI-VO der Aufbau oder die Erweiterung von Gesichtserkennungsdatenbanken durch ungezieltes Auslesen von Bildern aus dem Internet oder Überwachungsaufnahmen. Der Entwurf trägt dem durch das Echtzeit-Abgleichsverbot und die strikte Löschpflicht nach § 98d Abs. 3 StPO-E Rechnung.


2. Subsidiaritätsprinzip und Eingriffsschwelle

Beide Ermächtigungsgrundlagen setzen einen qualifizierten Tatverdacht voraus. § 98d StPO-E verlangt bestimmte Tatsachen, die den Verdacht einer Straftat von erheblicher Bedeutung – insbesondere einer Katalogtat nach § 100a Abs. 2 StPO – begründen. Hinzu tritt das Subsidiaritätserfordernis: Der biometrische Internetabgleich ist nur zulässig, wenn die Sachverhaltsaufklärung, Identitätsfeststellung oder Aufenthaltsermittlung auf andere Weise wesentlich erschwert oder aussichtslos wäre. § 98e StPO-E beschränkt sich auf schwerwiegende Straftaten im Sinne des § 100a Abs. 2 StPO, ohne eine zusätzliche Subsidiaritätsklausel, was angesichts der Eingriffsintensität der Maßnahme rechtspolitisch diskussionswürdig erscheint.


3. Anordnungskompetenz und richterlicher Vorbehalt

Die Anordnung des biometrischen Internetabgleichs nach § 98d Abs. 4 StPO-E obliegt der Staatsanwaltschaft. Bei Gefahr im Verzug dürfen auch Ermittlungspersonen der Staatsanwaltschaft (§ 152 GVG) tätig werden, jedoch ist die staatsanwaltschaftliche Bestätigung unverzüglich, spätestens binnen 48 Stunden herbeizuführen. Diese Regelung spiegelt die Anforderungen des Art. 26 Abs. 10 KI-VO wider. Eine richterliche Anordnung ist hingegen – anders als etwa bei § 100b StPO – nicht vorgesehen. Dies erscheint mit Blick auf den erheblichen Grundrechtseingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) zumindest erörterungswürdig, zumal das Bundesverfassungsgericht die Intensität solcher Maßnahmen wiederholt betont hat.


IV. Kritische Würdigung

1. Menschliche Letztentscheidung als Verfassungsgebot

Ausdrücklich untersagt § 98e Abs. 4 Satz 4 StPO-E eine ausschließlich auf der automatisierten Analysemaßnahme beruhende Entscheidungsfindung, die unmittelbar nachteilige Rechtsfolgen für betroffene Personen hätte. Dies entspricht den Vorgaben des Bundesverfassungsgerichts aus seiner sogenannten Palantir-Entscheidung vom 16. Februar 2023 (1 BvR 1547/19 u.a.), in der das Gericht klarstellte, dass der Mensch am Anfang und am Ende des Entscheidungsprozesses stehen muss. Die Analyseplattform soll ein reines Hilfsinstrument bleiben. Der Entwurf setzt dies konsequent um, indem offene Suchanfragen ohne konkreten Anlass ausgeschlossen werden und jede Maßnahme manuell ausgelöst werden muss.


2. Diskriminierungsrisiken durch algorithmische Verzerrungen

§ 98e Abs. 4 Satz 5 StPO-E verpflichtet technisch und organisatorisch sicherzustellen, dass diskriminierende Algorithmen weder herausgebildet noch verwendet werden. Dies ist vor dem Hintergrund dokumentierter Fehlerquoten biometrischer Erkennungssysteme bei bestimmten demographischen Gruppen von erheblicher praktischer Bedeutung. Die KI-VO flankiert dies durch Art. 10 Abs. 2 Buchst. f, der eine sorgfältige Prüfung der Trainingsdaten auf Verzerrungen (sog. Bias) vorschreibt. Es bleibt abzuwarten, wie diese abstrakte Vorgabe in der Praxis kontrolliert werden kann.


3. Fehlende richterliche Kontrolle bei § 98e StPO-E

Während § 98d StPO-E zumindest eine staatsanwaltschaftliche Anordnung mit Bestätigungspflicht vorsieht, enthält § 98e StPO-E keine vergleichbare prozessuale Sicherung. Lediglich Begründungs- und Protokollierungspflichten nach § 98e Abs. 5 StPO-E sowie datenschutzrechtliche Kontrolle durch Datenschutzbeauftragte sind vorgesehen. Angesichts des erheblichen Eingriffsgewichts, das das Bundesverfassungsgericht für derartige Analysesysteme festgestellt hat, erscheint eine richterliche Vorabkontrolle zumindest für besonders sensible Datenkategorien geboten.


4. Zweckbindung und Löschpflichten

Positiv hervorzuheben ist die strikte Zweckbindung: Daten, die beim biometrischen Abgleich nach § 98d StPO-E erhoben werden, sind unverzüglich zu löschen, sofern sie keinen konkreten Ermittlungsansatz bieten (§ 98d Abs. 3 StPO-E). Eine dauerhafte Datenbank aus erhobenen Internetbildern ist damit explizit ausgeschlossen. Dies entspricht den unionalen Vorgaben und verhindert den systematischen Aufbau von Überwachungsinfrastruktur durch die Hintertür.


V. Bedeutung für Beschuldigte und Betroffene

Durch die Einbeziehung des § 98d in den Katalog des § 101 StPO unterliegt der biometrische Internetabgleich den Benachrichtigungspflichten verdeckter Maßnahmen. Betroffene – Beschuldigte ebenso wie Zeugen, deren biometrische Daten verwendet wurden – sind nach Abschluss der Maßnahme zu benachrichtigen, soweit der Ermittlungszweck dies erlaubt. Diese nachträgliche Transparenz ist ein wichtiges rechtsstaatliches Korrektiv, vermag jedoch die fehlende richterliche Vorabkontrolle nicht vollständig zu kompensieren.


Für die anwaltliche Praxis bedeutet dies: Sobald ein Mandant Kenntnis erlangt, dass biometrische Daten von ihm für einen automatisierten Abgleich genutzt wurden, sind Rechtmäßigkeit der Anordnung, Subsidiarität der Maßnahme, Einhaltung der Löschpflichten sowie die Verwertbarkeit der gewonnenen Erkenntnisse als Beweismittel eingehend zu prüfen.


VI. Praktische Konsequenzen für Beschuldigte: Verhalten im digitalen Raum

Die geplante Novelle entfaltet besondere Gefahren für Personen, gegen die ein Ermittlungsverfahren läuft oder die auch nur den begründeten Verdacht haben, dass gegen sie ermittelt wird. Der Anwendungsbereich des § 98d StPO-E erfasst sämtliche biometrischen Daten, die im Internet öffentlich zugänglich sind – und damit in der Praxis vor allem das, was Betroffene selbst auf Social-Media-Plattformen veröffentlichen oder was Dritte dort über sie publizieren.


Dabei beschränkt sich das Erkenntnisinteresse der Ermittlungsbehörden keineswegs auf das biometrische Merkmal als solches. Bilder und Videosequenzen, die auf Plattformen wie Instagram, Facebook oder X veröffentlicht werden, enthalten regelmäßig in den sogenannten Metadaten (EXIF-Daten) Informationen über Aufnahmezeitpunkt, verwendetes Endgerät und – sofern die Geolokalisierung aktiviert war – den genauen Aufnahmestandort. Werden diese Dateien unbearbeitet hochgeladen, lassen sich daraus Bewegungsprofile rekonstruieren, die im Ermittlungsverfahren als Indizien gegen den Beschuldigten verwendet werden können. Auch wenn Plattformen Metadaten teilweise automatisiert entfernen, ist dies technisch nicht verlässlich und sollte nicht als selbstverständlich vorausgesetzt werden.


Aus diesem Grund gelten für Beschuldigte und Personen, die sich in einer vergleichbaren Lage sehen, folgende Handlungsempfehlungen:


Öffentliche Profile auf Social-Media-Plattformen sollten unverzüglich auf private Einstellungen umgestellt werden, die einen uneingeschränkten Zugriff durch Ermittlungsbehörden ausschließen. Der Entwurf stellt klar, dass Daten, die einer spezifischen Zugangsbeschränkung unterliegen und nur einem kontrollierten, begrenzten Personenkreis zugänglich sind, nicht von § 98d StPO-E erfasst werden. Ein privates Profil mit eingeschränktem Follower-Kreis genießt damit einen höheren Schutz gegenüber dem automatisierten biometrischen Abgleich als ein öffentliches Profil.


Darüber hinaus sollte von der aktiven Veröffentlichung neuer Bilder, Videos oder sonstiger Inhalte auf öffentlichen Plattformen während eines laufenden Ermittlungsverfahrens vollständig Abstand genommen werden. Dies gilt unabhängig davon, ob der konkrete Inhalt einen scheinbar harmlosen Freizeitkontext betrifft. Biometrische Merkmale sind in jedem Lichtbild enthalten; Standortinformationen können daraus technisch extrahiert werden.


Sofern eine Social-Media-Präsenz aus beruflichen oder sonstigen Gründen aufrechterhalten werden muss, empfiehlt sich die vorherige technische Entfernung sämtlicher Metadaten aus Bilddateien vor dem Hochladen sowie die konsequente Deaktivierung der Geolokalisierungsfunktion auf den verwendeten Endgeräten. Beiträge auf öffentlich zugänglichen Websites – etwa Kommentare, Forenbeiträge oder Profilseiten – sollten ebenfalls kritisch geprüft und gegebenenfalls gelöscht oder auf nicht-öffentliche Sichtbarkeit umgestellt werden.


Im Ergebnis gilt: Die digitale Selbstdarstellung im Netz war schon bisher nicht ohne rechtliche Risiken. Mit dem Inkrafttreten der §§ 98d, 98e StPO-E in der Entwurfsfassung erlangt sie eine qualitativ neue Dimension. Wer gegen sich ermitteln lässt oder auch nur ernsthafte Anhaltspunkte dafür hat, sollte das eigene Verhalten im digitalen Raum umgehend und umfassend mit seinem Verteidiger abstimmen.


Rechtsanwalt Johannes Koch – Strafverteidiger und Anwalt für Gesellschaftsrecht in Frankfurt am Main











Johannes Koch

Rechtsanwalt


 
 
 

Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Bitte den Website-Eigentümer für weitere Infos kontaktieren.
bottom of page