Version 1.0 | Stand: April 2026 | Nächste Überprüfung: Mai 2026. Das BMJV will den automatisierten biometrischen Internetabgleich und die verfahrensübergreifende Datenanalyse gesetzlich verankern. Für Unternehmen mit digitalen Datenbeständen ändert das die Risikolandschaft grundlegend. Das Thema Digitale Ermittlungsmaßnahmen StPO ist dabei von zentraler Bedeutung.
Worum geht es?: Digitale Ermittlungsmaßnahmen StPO
Am 12. März 2026 hat das Bundesministerium der Justiz einen Referentenentwurf zur Änderung der Strafprozessordnung vorgelegt. Im Zentrum stehen zwei neue Ermächtigungsgrundlagen: der automatisierte biometrische Abgleich mit öffentlich zugänglichen Internetdaten (§ 98d StPO-E) und die verfahrensübergreifende automatisierte Datenanalyse (§ 98e StPO-E). Bislang war lediglich der manuelle Abgleich über gängige Suchmaschinen zulässig; eine ausdrückliche gesetzliche Grundlage für automatisierte Verfahren fehlte.
Die BRAK hat in ihrer Stellungnahme Nr. 21/2026 die Stoßrichtung des Entwurfs bestätigt. Der Bund Deutscher Kriminalbeamter verweist in seiner Stellungnahme vom 6. April 2026 konkret auf die geplanten Normen.
Warum ist das für Compliance und Internal Investigations relevant? und Digitale Ermittlungsmaßnahmen StPO
Der Entwurf tariert die Schnittstelle zwischen Ermittlungszugriff, Datenverarbeitung und Grundrechtsschutz neu aus. Drei Konsequenzen sind besonders bedeutsam:
Erstens: Öffentlich verfügbare Daten werden schneller korrelierbar. Unternehmen mit hohen Digitalisierungsgraden müssen damit rechnen, dass Social-Media-Präsenzen, Handelsregistereinträge, Unternehmenswebsites und andere öffentlich zugängliche Datenquellen automatisiert in Ermittlungsanalysen einbezogen werden. Die Schwelle für die Nutzung biometrischer Merkmale – etwa Gesichtsbilder von Unternehmenswebsites oder LinkedIn-Profilen – sinkt erheblich.
Zweitens: Verfahrensübergreifende Analyse erhöht den Verknüpfungsdruck. § 98e StPO-E ermöglicht die automatisierte Auswertung und Verknüpfung von Daten aus verschiedenen Ermittlungsverfahren. Für Unternehmen, die in mehrere Verfahren involviert sind – etwa parallele Steuer-, Betrugs- und Kartellermittlungen – steigt das Risiko, dass Einzeldaten in einem größeren Analysezusammenhang verwendet werden.
Drittens: Die Anforderungen an Incident Response steigen. Wenn Ermittlungsbehörden technisch in der Lage sind, große Datenbestände automatisiert zu analysieren, müssen Unternehmen schneller in der Lage sein, ihre eigenen Datenlandschaften zu überblicken, relevante Bestände zu identifizieren und rechtlich zu bewerten. Mehr dazu im Leitfaden zu internen Untersuchungen.
Was sollten Unternehmen jetzt tun?
Der Entwurf ist noch nicht Gesetz. Die Richtung ist aber klar genug, um operative Konsequenzen zu ziehen:
- Data Governance überprüfen: Welche Daten sind öffentlich zugänglich, welche intern korrelierbar? Aufbewahrungs- und Löschkonzepte sollten gegen das neue Risikoprofil gespiegelt werden.
- Dawn-Raid- und Incident-Response-Prozesse aktualisieren: Die Fähigkeit, bei einer Durchsuchung oder einem Herausgabeverlangen schnell zu kartieren, welche digitalen Bestände betroffen sein könnten, wird wichtiger.
- Social-Media- und Open-Source-Daten einbeziehen: Viele Unternehmen haben keine klare Governance für die eigene digitale Sichtbarkeit. Das sollte sich ändern.
- Internal-Investigations-Playbooks anpassen: Frühzeitiges Mapping der technisch korrelierbaren Datenbestände wird zum Standardbaustein jeder internen Untersuchung.
Fazit
Der Referentenentwurf ist kein Paradigmenwechsel, aber ein deutlicher Schritt in Richtung datengetriebener Strafverfolgung. Unternehmen, die ihre digitale Angriffsfläche nicht kennen, werden im Ernstfall überrascht. Empfehlenswert ist: Data Governance, Löschkonzepte und Incident-Response-Fähigkeiten jetzt zu überprüfen – bevor der Entwurf in Kraft tritt.
Was regelt § 98d StPO-E?
§ 98d StPO-E soll den automatisierten biometrischen Abgleich mit öffentlich zugänglichen Internetdaten ermöglichen – bislang war nur der manuelle Abgleich zulässig. Die Norm schafft erstmals eine ausdrückliche gesetzliche Grundlage für den Einsatz dieser Technologie in Strafermittlungsverfahren.
Welche Konsequenzen hat § 98e StPO-E für Unternehmen?
§ 98e StPO-E ermöglicht die verfahrensübergreifende automatisierte Datenanalyse. Für Unternehmen, die in mehrere parallele Verfahren involviert sind, steigt das Risiko der Datenzusammenführung erheblich. Data-Governance-Konzepte und Incident-Response-Prozesse müssen darauf abgestimmt werden.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand: April 2026.
Sie haben Fragen zu diesem Thema?
Dr. Andreas Grözinger und das Team von Gercke Wollschläger beraten Sie — vertraulich und erfahren im Wirtschaftsstrafrecht & Compliance.
