Die Architektur des digitalen Verdachts

Foto: stux Quelle: pixabay Lizenz

Der Datensatz vor dem Verdacht
Ein Vorfall.
Ein klar umrissener Ort. Ein bestimmter Zeitraum.

Mehr ist zu Beginn häufig nicht bekannt. Es gibt möglicherweise eine Anzeige, vielleicht eine Zeugenaussage, vielleicht nur einen Sachverhalt, der geprüft werden muss. In der klassischen Vorstellung beginnt die Ermittlungsarbeit an diesem

Punkt mit der Suche nach einer Person: Wer könnte verantwortlich sein? Wer hatte Zugang? Wer hatte ein Motiv?

Doch in einer digital organisierten Gesellschaft verläuft der Einstieg oft anders. Parallel zur personenbezogenen Suche wird ein technischer Raum definiert. Der Tatort ist nicht nur ein physischer Ort, sondern zugleich ein rekonstruierbares Datenumfeld. Zeit und Raum lassen sich digital abbilden: durch Mobilfunkprotokolle, Transaktionszeitpunkte, Login-Daten oder elektronische Bewegungsdaten.

Der erste Schritt besteht damit nicht zwingend in der Identifizierung einer Person, sondern in der Zusammenstellung eines Datensatzes. Aus einem Ereignis wird ein definierter Zeitraum. Aus einem Ort wird ein digital abgrenzbarer Umkreis. Innerhalb dieser Parameter werden vorhandene Datenspuren betrachtet, die unabhängig vom konkreten Verdacht entstanden sind.

Mobiltelefone buchen sich automatisch in Funkzellen ein. 1 Zahlungsdienste speichern Transaktionen. 2 Plattformen dokumentieren Anmeldungen und Verbindungsdaten. 3 Diese Protokolle entstehen nicht zu Ermittlungszwecken. Sie sind Nebenprodukte technischer Systeme, die funktionieren müssen. Kommunikation, Abrechnung und Zugangskontrolle erzeugen Datensätze, kontinuierlich und systembedingt. Erst wenn ein Anlass besteht, können solche Daten unter gesetzlichen Voraussetzungen relevant werden. 4 Entscheidend ist dabei die Reihenfolge: Nicht zwingend eine Person steht am Anfang, sondern ein digital rekonstruierbarer Kontext. Der Datensatz geht dem Verdacht voraus.

Das bedeutet nicht, dass Schuld vermutet wird, bevor etwas geschehen ist. Es bedeutet, dass Aufmerksamkeit in einer datenintensiven Umgebung häufig aus der Analyse vorhandener Spuren entsteht. Auffälligkeiten ergeben sich aus Überschneidungen, zeitlichen Koinzidenzen oder technischen Mustern. Aus Listen werden Konstellationen gebildet, aus Konstellationen ergeben sich Prüfungen.

Der Verdacht steht nicht am Anfang

Gerade diese Auswahl verändert die Struktur der ersten Ermittlungsphase. Wer sich im relevanten Datenraum befindet, kann Teil einer Prüfung werden, unabhängig davon, ob er aktiv gehandelt hat. Die bloße Präsenz in einem definierten Umfeld kann dazu führen, dass eine Kennung in einer Liste erscheint. Erst danach beginnt die Differenzierung.

Diese Vorgehensweise ist kein Ausnahmeinstrument, sondern Ausdruck einer digitalen Infrastruktur. Je dichter Netze, Plattformen und elektronische Zahlungssysteme den Alltag durchziehen, desto umfassender wird das potenziell rekonstruierbare Umfeld. Die technische Möglichkeit entsteht nicht durch eine einzelne sicherheitspolitische Maßnahme, sondern durch die Normalität digitaler Prozesse.

Der Perspektivwechsel liegt daher weniger im Umfang staatlicher Befugnisse als in der Logik des Einstiegs. Ermittlungen beginnen nicht ausschließlich bei einer identifizierten Person, sondern häufig bei der Analyse eines Datenraums. Der Verdacht steht nicht am Anfang, sondern kann das Ergebnis einer ersten Sortierung sein.

Damit verschiebt sich der Ausgangspunkt moderner Strafverfolgung subtil. Nicht das individuelle Verhalten allein erzeugt Aufmerksamkeit, sondern auch die digitale Umgebung, in der es stattfindet. Die zentrale Frage lautet deshalb nicht nur, welche Instrumente eingesetzt werden, sondern wann und an welcher Stelle ein Ermittlungsprozess beginnt.

Beginnt er bei der Tat, oder bei der Auswertung von Spuren, die unabhängig vom konkreten Verdacht entstanden sind?

Wenn der Datensatz häufig vor dem konkreten Verdacht steht, stellt sich die grundlegende Frage: Wo entstehen diese Daten überhaupt? Die naheliegende Annahme, sicherheitsrelevante Informationen würden primär durch staatliche Stellen erhoben, greift in der Praxis zu kurz. Der überwiegende Teil jener Daten, die in Ermittlungsverfahren eine Rolle spielen können, entsteht außerhalb staatlicher Behörden, als Nebenprodukt digital organisierter Alltagsprozesse.

Telekommunikation ist dabei der sichtbarste Bereich. Jedes eingeschaltete Mobiltelefon kommuniziert fortlaufend mit dem Netz. Damit Anrufe zugestellt und Daten übertragen werden können, muss ein Gerät in einer Funkzelle registriert sein. 5 Bei jeder Verbindung entstehen technische Protokolle: Zeitpunkt, Dauer, beteiligte Anschlüsse, zugewiesene IP-Adressen. 6 Diese Informationen sind Voraussetzung für den Betrieb des Netzes. Ohne sie wäre weder Abrechnung noch technische Steuerung möglich. Sie werden nicht mit dem primären Ziel der Strafverfolgung gespeichert, sondern weil das System ohne sie nicht funktioniert.

Kontinuierliche Spuren

Auch im Finanzsystem entstehen kontinuierlich digitale Spuren. Elektronische Überweisungen, Kartenzahlungen, Online- Transaktionen oder Lastschriften werden vollständig digital verarbeitet. Jede Bewegung eines Geldbetrags erzeugt einen Datensatz mit Zeit, Betrag, Sender, Empfänger und technischen Identifikatoren. Kreditinstitute analysieren diese Daten aus betrieblicher Notwendigkeit: zur Betrugs- prävention, zur Risikosteuerung und zur Er- füllung gesetzlicher Vorgaben. Verdachtsmeldungen entstehen häufig als Ergebnis interner Prüfmechanismen, bevor staat- liche Stellen überhaupt involviert sind. 7 Ein weiterer Bereich ist die digital organisierte Mobilität. Elektronische Tickets im öffentlichen Nahverkehr, Mautsysteme, digitale Parkraumbewirtschaftung oder Carsharing-Dienste speichern Nutzungszeitpunkte und Bewegungsinformationen. Diese Daten dienen organisatorischen Zwecken, Abrechnung, Verkehrssteuerung, Flottenmanagement. Doch sie erzeugen zugleich Bewegungsprotokolle, die im Anlassfall rekonstruierbar sind. Die Erfassung erfolgt nicht aus sicherheitspolitischer Motivation, sondern aus betrieblicher Logik.

Hinzu kommen digitale Plattformen und Cloud-Dienste. Login-Zeitpunkte, Geräteinformationen, IP-Zuordnungen und technische Zugriffsdaten werden gespeichert, um Accounts zu verwalten, Missbrauch zu verhindern und Systeme stabil zu betreiben. Die digitale Infrastruktur des Alltags, von E-Mail-Diensten über soziale Netzwerke bis zu Online-Marktplätzen, funktioniert nur auf Grundlage solcher Protokolle. Auch hier entstehen Daten primär aus funktionalen Gründen.

Gemeinsam ist all diesen Bereichen eine strukturelle Eigenschaft: Die Datenerhebung ist systembedingt. Sie ist Voraussetzung für Kommunikation, Handel, Mobilität und digitale Dienstleistungen.

Damit verschiebt sich die Perspektive. Die moderne Sicherheitsarchitektur beginnt nicht in staatlichen Datenbanken, sondern in privatwirtschaftlichen Systemen. Telekommunikationsanbieter, Banken, Plattformbetreiber und Mobilitätsunternehmen speichern jeweils eigene Datensätze. Es existiert kein allumfassendes staatliches Zentralarchiv, in dem sämtliche Kommunikations-, Bewegungs- und Zahlungsdaten automatisch zusammenlaufen. 8 Die Speicherung ist dezentral organisiert.

Teil einer gängigen Praxis

Der Staat erzeugt diese Daten nicht, er nutzt sie unter bestimmten rechtlichen Voraussetzungen. Diese Nutzung setzt auf einer Infrastruktur auf, die aus wirtschaftlicher und technischer Notwendigkeit entstanden ist. Je stärker Gesellschaft und Wirtschaft digitalisiert sind, desto dichter wird das Geflecht solcher Datenspuren.
Die quantitative Dimension ist erheblich. Millionen Verbindungen, Transaktionen und Logins pro Tag erzeugen fortlaufend Datensätze. Im Verhältnis dazu ist die Zahl staatlicher Abfragen gering. Dennoch ist der Zugriff kein exotisches Ausnahmeinstrument. Er ist Teil einer administrativen Praxis, die auf einer bereits vorhandenen Datenlandschaft aufbaut.

Damit rückt die nächste Frage in den Vordergrund: Wie werden diese dezentral gespeicherten Daten staatlich nutzbar? Welche rechtlichen und technischen Schnittstellen verbinden privat erzeugte Informationen mit staatlicher Ermittlungsbefugnis?

Den vollständigen Text lesen Sie in der  aktuellen Ausgabe 5/6 2026 unseres Magazins, das im Bahnhofsbuchhandel, im gut sortierten Zeitungschriftenhandel und in ausgewählten Lebensmittelgeschäften erhältlich ist. Sie können das Heft auch auf dieser Website (Abo oder Einzelheft) bestellen.

Abo oder Einzelheft hier bestellen

Seit Juli 2023 erscheint das Nachrichtenmagazin Hintergrund nach dreijähriger Pause wieder als Print-Ausgabe. Und zwar alle zwei Monate.

Hintergrund abonnieren

GÜNTHER BURBACH, Jahrgang 1963, ist Informatikkaufmann, Publizist und Buchautor. Nachdem er Kolumnist einer Wochenzeitung war, arbeitete er in der Redaktion der Funke Mediengruppe. Er veröffentlichte vier Bücher mit Schwerpunkt auf Künstlicher Intelligenz sowie deutscher Innen- und Außenpolitik. In seinen Texten verbindet er technisches Verständnis mit einem gesellschaftspolitischen Blick.

1 BBK (Bundesamt für Bevölkerungsschutz): Mobilfunkgeräte registrieren sich automatisch in einer Funkzelle (Cell Broadcast erklärt); https://www.bbk.bund. de/DE/Warnung-Vorsorge/Warnung-in-Deutschland/So-werden-Sie-gewarnt/Cell- Broadcast/cell-broadcast_node.html
2 EU-Datenschutz-Grundverordnung (DSGVO), Erwägungsgrund 30: Online- Identifier wie IP-Adressen hinterlassen Spuren und können Personen zugeordnet werden
3 EBA (European Banking Authority) – Q&A: Zahlungsdienstleister sollen Aufzeichnungen/Records zur Autorisierung von Zahlungstransaktionen vorhalten (Recordkeeping zu Transaktionen); https://www.eba.europa.eu/single- rule-book-qa/qna/view/publicId/2022_6526
4 Strafprozessordnung §100g (Gesetze-im-Internet): Erhebung von Verkehrsdaten; enthält auch spezielle Voraussetzungen zur Funkzellenabfrage; https://www.gesetze-im-internet.de/stpo/__100g.html
5 Bundesnetzagentur – Mobilfunk: Funktionsweise von Funkzellen; https://www. bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_ Institutionen/Frequenzen/OeffentlicheNetze/Mobilfunk/mobilfunk-node.html
6 Telekommunikationsgesetz (TKG) § 3 Nr. 70 – Definition Verkehrsdaten; https:// www.gesetze-im-internet.de/tkg_2021/__3.html
7 Geldwäschegesetz (GwG) § 43 – Verpflichtung zur Verdachtsmeldung; https:// www.gesetze-im-internet.de/gwg_2017/__43.html
8 Bundesverfassungsgericht, Urteil vom 2. März 2010 – Vorratsdatenspeicherung; https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/ DE/2010/03/rs20100302_1bvr025608.html