Stand: April 2026. Dieser Beitrag wird regelmäßig aktualisiert.
Wenn die Staatsanwaltschaft ein Unternehmen durchsucht, richtet sich der Zugriff heute fast immer auf die IT-Systeme. Laptops, E-Mail-Server, Cloud-Speicher, Smartphones der Mitarbeiter, Datenbanken – was früher als Aktenschrank durchsucht wurde, ist heute ein weltweit verteiltes digitales Ökosystem. Die strafprozessuale Regelung dafür steckt in einer Norm, die in ihrer Grundstruktur aus dem Jahr 1877 stammt: § 110 StPO. Die praktischen Folgen dieses Spannungsverhältnisses werden für Unternehmen dann spürbar, wenn der gesamte Mail-Server in die Beweismittelstelle der Staatsanwaltschaft transportiert wird – und der Geschäftsbetrieb stillsteht.
Auf einen Blick: Was gilt für die IT-Beschlagnahme im Unternehmen?
§ 110 StPO erlaubt die Durchsicht elektronischer Speichermedien – nicht die pauschale Mitnahme des gesamten IT-Bestandes. Die Rechtsprechung 2024 und 2025 hat mit mehreren Beschlüssen klargestellt, dass Pauschalzugriffe unverhältnismäßig sind und gegen Art. 13 GG verstoßen. Passwörter müssen Beschuldigte nicht herausgeben; bei Mitarbeitern in Zeugenstellung ist die Rechtslage differenziert.
Dieser Beitrag ordnet die neue Linie der Instanzgerichte in ein praxistaugliches Verteidigungs-Playbook ein und erklärt, welche Maßnahmen unmittelbar während der Durchsuchung sowie im Nachgang zu ergreifen sind.
Die Ausgangslage: § 110 StPO als Schnittstelle zwischen Durchsuchung und Beschlagnahme
§ 110 StPO regelt die Durchsicht von Papieren und – seit 2007 ausdrücklich – elektronischen Speichermedien. Die Vorschrift soll verhindern, dass die Ermittler pauschal sämtliches Material mitnehmen, ohne geprüft zu haben, ob es überhaupt beweiserheblich ist.
Systematisch liegt § 110 StPO zwischen der Durchsuchung (§§ 102, 103 StPO) und der Beschlagnahme (§§ 94 ff. StPO). Das Bundesverfassungsgericht und der Bundesgerichtshof verorten die Sichtung ausdrücklich als „Zwischenstadium“ der fortdauernden Durchsuchung (BGH, Beschluss vom 3. August 1995 – StB 33/95). Das hat zwei praktische Folgen:
Erstens: Solange die Durchsicht läuft, richtet sich der Rechtsschutz nicht nach § 98 Abs. 2 StPO (Beschlagnahme), sondern nach § 98 Abs. 2 Satz 2 StPO analog.
Zweitens: Erst am Ende der Sichtung wird entschieden, welche Daten tatsächlich beschlagnahmt – also als Beweismittel aufgehoben – werden und welche herauszugeben sind. Daten, die dem Beschlagnahmeverbot des § 97 StPO unterliegen, dürfen nach ständiger Rechtsprechung schon bei der Durchsicht nicht zur Kenntnis genommen werden; sie sind ungelesen herauszugeben.
In der Praxis wird dieses Konzept oft ausgehöhlt. Die Fachliteratur spricht bei § 110 StPO mittlerweile von der „kleinen Online-Durchsuchung“, weil über die Sichtung elektronischer Speichermedien faktisch Zugriffe möglich werden, die der Gesetzgeber an anderer Stelle – nämlich in den §§ 100b, 100d StPO – besonderen Schutzmechanismen unterworfen hat.
Das Bundesverfassungsgericht hat mit Beschluss vom 24. Juni 2025 (Az. 1 BvR 180/23) zur Verfassungsmäßigkeit der Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung Stellung genommen. Die Ermächtigungsgrundlagen in §§ 100a Abs. 1 Sätze 2 und 3, 100b und 100d StPO halten nach dieser Entscheidung der verfassungsrechtlichen Prüfung weitgehend stand. Das Gericht betont aber den „sehr schwerwiegenden Eingriff“ dieser Maßnahmen sowohl in das IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) als auch in das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG – und fordert für Berufsgeheimnisträger besondere Schutzmechanismen nach § 160a StPO. Die Entscheidung betrifft unmittelbar nur die heimlichen Maßnahmen, hat aber Folgewirkung für die offene IT-Durchsicht: Wenn schon die heimliche Online-Durchsuchung engen verfassungsrechtlichen Grenzen unterliegt, darf die offene Durchsicht nach § 110 StPO nicht im Ergebnis weiter greifen.
Die neue Linie 2024/2025: Verhältnismäßigkeit als Grenze
Zwei Entscheidungen der Landgerichte haben den Diskurs um § 110 StPO spürbar verschoben.
LG München I, Beschluss vom 18. Dezember 2024 – 19 Qs 24/24: In einem Ermittlungsverfahren wegen versuchter Erpressung hatte das Amtsgericht München die Durchsuchung und Beschlagnahme elektronischer Datenspeicher angeordnet. Das Landgericht hob beide Beschlüsse auf und stellte klar, dass bei umfangreichen elektronisch gespeicherten Datenbeständen die Gewinnung überschießender, für das Verfahren bedeutungsloser Daten zu vermeiden sei. Die pauschale Beschlagnahme sämtlicher gespeicherter Daten zur Erfassung von Kommunikation sei regelmäßig nicht erforderlich; im Regelfall habe die Durchsicht der Endgeräte vor Ort zu genügen. Die Entscheidung hebt die Bedeutung von Art. 13 GG (Unverletzlichkeit der Wohnung) und Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG (informationelle Selbstbestimmung) hervor.
LG Nürnberg-Fürth, Beschluss vom 27. Januar 2025 – 12 Qs 60/24 (Medistar): Hier ging es um die Beschlagnahme einer Arztpraxis-Datenbank, die als virtuelle Maschine gesichert worden war. Das Gericht stellte fest, dass die sofortige Beschlagnahme der gesamten Datenbank von 2007 bis Ende 2024 – ohne vorherige Durchsicht und Sortierung nach den tatrelevanten Quartalen 3/2019 bis 3/2021 – unverhältnismäßig und damit rechtswidrig war. Die Virtualisierung sei als vorläufige Sicherstellung bei technischen Hürden im Rahmen von § 110 StPO zulässig; eine Beschlagnahme erfordere aber die vorherige Durchsicht.
Die Botschaft beider Entscheidungen: Je umfangreicher der IT-Datenbestand, desto strenger sind die Anforderungen an die Zielgerichtetheit des Zugriffs. Die „Spiegelung von allem“ ist nicht automatisch zulässig, nur weil sie technisch möglich ist.
Diese Linie steht in einem Spannungsverhältnis zu anderen Entscheidungen, etwa dem Beschluss des LG Koblenz – 4 Qs 59/21 –, der die Durchsicht auch bei Zugriff auf ausländische Cloud-Speicher für zulässig hielt. Der Streit um die Reichweite des § 110 StPO ist also nicht abschließend geklärt und wird die Rechtsprechung in den kommenden Jahren weiter beschäftigen.
Passwortherausgabe: Zwischen nemo tenetur und Zeugenpflicht
Die Frage, ob Passwörter für IT-Systeme herausgegeben werden müssen, gehört zu den häufigsten während einer Durchsuchung – und wird regelmäßig falsch beantwortet.
Für den Beschuldigten gilt der Grundsatz nemo tenetur se ipsum accusare: Niemand muss an seiner eigenen Überführung mitwirken. Das Schweigerecht nach § 136 StPO erstreckt sich auch auf die aktive Mitwirkung bei der Entsperrung von Geräten, die belastende Inhalte enthalten könnten. Eine Pflicht zur Passwortherausgabe besteht hier nicht.
Komplizierter ist die Lage beim Mitarbeiter in Zeugenstellung – etwa dem IT-Administrator, dessen persönliche Involvierung in den Tatvorwurf nicht im Raum steht, der aber Zugang zu den gesuchten Systemen hat. Grundsätzlich besteht für Zeugen Aussagepflicht nach §§ 48 ff. StPO. Die Herausgabe von Zugangsdaten wird überwiegend als unter diese Pflicht fallend behandelt, weil es sich um eine Tatsache handelt, die dem Zeugen bekannt ist. Eine Grenze bildet aber § 55 StPO: Würde die Herausgabe den Zeugen selbst oder einen Angehörigen der Gefahr strafrechtlicher Verfolgung aussetzen, kann die Auskunft verweigert werden.
In der Praxis heißt das: Ohne vorherige Rücksprache mit dem externen Verteidiger sollten Mitarbeiter keine Passwörter herausgeben. Die Fragen nach Selbstbelastungsgefahr (§ 55 StPO), nach der Reichweite des Durchsuchungsbeschlusses und nach der Verhältnismäßigkeit sind im Einzelfall zu prüfen.
Cloud-Daten und ausländische Server
Ein eigenes Kapitel betrifft Daten, die nicht auf dem Unternehmensserver, sondern in einer Cloud liegen – häufig auf Servern in den USA, Irland oder anderen Jurisdiktionen. Hier stellt sich die Frage, ob deutsche Ermittler im Rahmen von § 110 Abs. 3 StPO ohne Rechtshilfeersuchen auf diese Daten zugreifen dürfen.
Die Rechtsprechung ist uneinheitlich. Das Landgericht Koblenz hat in der bereits erwähnten Entscheidung den Zugriff auf Social-Media-Accounts über das bei der Durchsuchung beschlagnahmte Smartphone für zulässig gehalten. Die fachliterarische Gegenansicht – etwa im Münchener Kommentar zur StPO und im Karlsruher Kommentar – hält das für völkerrechtlich problematisch, weil auf Datenspeicher in souveränen Staaten ohne deren Zustimmung zugegriffen wird.
Der europäische Gesetzgeber hat dieses Spannungsfeld mit der Verordnung (EU) 2023/1543 über europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel (e-Evidence-Verordnung) ab August 2026 teilweise neu geregelt. Für grenzüberschreitende Zugriffe innerhalb der EU entstehen damit formelle Verfahrenswege, die das rein national-strafprozessuale Auslegungsproblem des § 110 Abs. 3 StPO relativieren. Für Zugriffe auf Cloud-Daten außerhalb der EU bleibt die Rechtslage aber umstritten.
Aus Unternehmenssicht bedeutet das: Cloud-Daten sind kein sicherer Hafen. Wenn ein Mitarbeiter-Smartphone beschlagnahmt und durchsucht wird, können darüber ohne Weiteres E-Mail-Postfächer, Unternehmens-Chatverläufe und Cloud-Dokumente eingesehen werden. Die Frage, ob das völkerrechtlich zulässig ist, wird im laufenden Verfahren regelmäßig nicht zugunsten des Betroffenen entschieden.
Praktisch empfiehlt sich deshalb:
– Trennung zwischen privaten und geschäftlichen Geräten – Multi-Faktor-Authentifizierung, die über den bloßen Zugriff auf das Gerät hinausgeht – wobei zu beachten ist, dass die Verweigerung des zweiten Faktors durch den Beschuldigten vom Schweigerecht des § 136 StPO gedeckt ist, während die aktive Löschung von Daten oder das Blockieren eines laufenden Zugriffs den Tatbestand des § 258 StGB erfüllen kann – Klare interne Regelungen zum Umgang mit Cloud-Zugängen während einer Durchsuchung, insbesondere ein kontrolliertes Abmeldeverfahren für alle sensiblen Sessions bei Eintritt der Beamten
Spiegelung, Virtualisierung, forensische Kopie – die Techniken im Rechtsrahmen
Die Ermittler setzen je nach Fall unterschiedliche technische Verfahren ein. Jedes hat eigene rechtliche Implikationen:
| Technik | Was geschieht | Rechtlicher Rahmen |
|---|---|---|
| Physische Mitnahme | Server, Laptop, Smartphone wird mitgenommen | Beschlagnahme nach § 94 StPO, Beschwerde nach § 98 Abs. 2 S. 2 StPO |
| Bit-genaue Spiegelung | Vollständige forensische Kopie des Datenträgers | Sichtung nach § 110 StPO; Beschlagnahme erst nach Durchsicht zulässig |
| Virtualisierung | Nachbildung des Systems in einer virtuellen Maschine | Zulässig als vorläufige Sicherstellung; Beschlagnahme erfordert Durchsicht (LG Nürnberg-Fürth 12 Qs 60/24) |
| Selektiver Export | Gezielte Extraktion einzelner Dateien/Zeiträume | Zulässig und im Regelfall verhältnismäßig |
| Live-Zugriff auf Cloud | Öffnen laufender Accounts über das beschlagnahmte Gerät | Umstritten, bei ausländischen Servern völkerrechtlich problematisch |
Aus Verteidigungssicht ist die selektive Extraktion stets vorzuziehen. Sie begrenzt den Eingriff auf das tatsächlich Benötigte und vermeidet, dass Kommunikation weit jenseits des Tatzeitraums in die Akten gelangt. Die Forderung nach selektivem Export ist in jedem IT-Zugriff angezeigt und bildet die konkrete Ausprägung des Verhältnismäßigkeitsgrundsatzes.
Widerspruch, Versiegelung, Datenlieferungsvereinbarung
Die entscheidenden operativen Maßnahmen während der Durchsuchung sind drei:
Widerspruch. Gegen jede Sicherstellung und jede Beschlagnahme ist Widerspruch zu erklären – rein vorsorglich und ohne Begründungszwang. Der Widerspruch verhindert nicht die Mitnahme, er sichert aber das Beschwerderecht nach § 98 Abs. 2 Satz 2 StPO. Wer nicht widerspricht, kann die Maßnahme später nicht mehr anfechten. Der Widerspruch wird im Protokoll vermerkt.
Siegelung von Anwaltsakten. Unterlagen, die dem Beschlagnahmeverbot des § 97 StPO unterliegen – insbesondere Korrespondenz mit dem externen Strafverteidiger – sind gesondert zu kennzeichnen und einer Siegelung zuzuführen. Das Prozedere: Die Dokumente werden in einem Umschlag verschlossen, der vor Ort mit dem Amtssiegel versiegelt und an die Staatsanwaltschaft abgegeben wird. Erst ein Richter entscheidet nachträglich über die Kenntnisnahme.
Datenlieferungsvereinbarung. Bei umfangreichen IT-Beschlagnahmen empfiehlt sich der Abschluss einer formlosen Vereinbarung über Umfang, Format und Rückgabe der Daten. Die Vereinbarung kann regeln, dass eine forensische Kopie erstellt wird statt der Mitnahme der Geräte; dass die Selektion nach festgelegten Suchbegriffen erfolgt; dass die Verteidigung bei der Festlegung der Suchbegriffe beteiligt wird. Die Staatsanwaltschaft ist zu einer solchen Vereinbarung nicht verpflichtet, doch sie dient häufig auch dem behördlichen Effizienzinteresse.
Die Kombination dieser drei Maßnahmen ist das operative Rückgrat der Verteidigung bei der IT-Beschlagnahme. Sie ersetzt nicht die spätere Beschwerdeführung, schafft aber die prozessuale Grundlage dafür.
Rückgabeanträge nach Abschluss der Sichtung
Wenn die Sichtung abgeschlossen ist und einzelne Daten beschlagnahmt bleiben, während andere zurückgegeben werden sollen, ist der Rückgabeantrag das Mittel der Wahl. Er richtet sich – je nach Verfahrensstand – an die Staatsanwaltschaft oder an den Ermittlungsrichter.
Der Antrag sollte konkret benennen, welche Daten zurückgegeben werden sollen und warum sie nicht beweiserheblich sind. Ein pauschaler Antrag auf Rückgabe „sämtlicher nicht benötigter Daten“ ist ineffektiv; zielgerichtet sind Anträge, die auf bestimmte Verzeichnisse, Zeiträume oder Dateitypen abstellen.
Wird der Antrag abgelehnt, eröffnet § 98 Abs. 2 Satz 2 StPO den Rechtsweg. Die Beschwerdeerhebung richtet sich dann nach den Grundsätzen, die in einem separaten Beitrag zur Rechtsschutzstrategie bei Durchsuchung und Beschlagnahme behandelt werden.
Häufige Fragen
Müssen wir bei einer Durchsuchung unsere Server-Passwörter herausgeben?
Als Beschuldigter nicht – das Schweigerecht nach § 136 StPO erstreckt sich auch auf die Entsperrung eigener Systeme. Bei Mitarbeitern in Zeugenstellung, etwa dem IT-Administrator, gilt grundsätzlich die Aussagepflicht, aber § 55 StPO erlaubt die Auskunftsverweigerung bei Selbstbelastungsgefahr. Ohne vorherige anwaltliche Rücksprache sollten keine Passwörter herausgegeben werden.
Dürfen Ermittler unsere Cloud-Daten mitnehmen?
Die Rechtsprechung ist uneinheitlich. Grundsätzlich können über ein beschlagnahmtes Gerät auch Cloud-Dienste geöffnet und durchsucht werden. Bei Servern im Ausland ist das völkerrechtlich umstritten. Praktisch gilt: Cloud-Daten sind kein sicherer Hafen, und Multi-Faktor-Authentifizierung sowie die Trennung privater und geschäftlicher Geräte sind relevante Schutzmaßnahmen.
Was bedeutet „Mitnahme zur Durchsicht“ und wie wehrt man sich dagegen?
Die Mitnahme zur Durchsicht nach § 110 Abs. 3 StPO ist eine vorläufige Sicherstellung, keine endgültige Beschlagnahme. Die Datenträger werden zur Auswertung mitgenommen, ohne dass bereits feststünde, welche Daten tatsächlich als Beweismittel aufbewahrt werden. Rechtlich handelt es sich um einen Zwischenschritt, der noch Teil der fortdauernden Durchsuchung ist (BGH StB 33/95). Die Verteidigung kann auf drei Ebenen reagieren: Erstens durch vorsorglichen Widerspruch bei der Mitnahme, um das Beschwerderecht nach § 98 Abs. 2 Satz 2 StPO analog zu sichern. Zweitens durch Siegelungsanträge für schutzwürdige Unterlagen, insbesondere anwaltliche Korrespondenz. Drittens durch eine schriftliche Datenlieferungsvereinbarung, die Suchbegriffe und Selektionskriterien festlegt und so den Zugriff zielgerichtet begrenzt. Die Kombination dieser drei Maßnahmen ist das Rückgrat der Verteidigung in dieser Phase.
Wie verhindert man, dass Ermittler den gesamten Mailverkehr spiegeln?
Durch den Hinweis auf den Grundsatz der Verhältnismäßigkeit und die aktuelle Rechtsprechung (LG München I 19 Qs 24/24, LG Nürnberg-Fürth 12 Qs 60/24): Die pauschale Spiegelung des Mailverkehrs zur Erfassung von Kommunikation ist regelmäßig nicht erforderlich. Zielführend sind Vorschläge zur selektiven Extraktion nach Suchbegriffen, Zeiträumen oder Absendern.
Dürfen Forensiker ausländische Cloud-Server durchsuchen?
Die Rechtsprechung bejaht dies überwiegend, wenn der Zugriff über ein bei der Durchsuchung beschlagnahmtes inländisches Gerät erfolgt. Die fachliterarische Gegenansicht hält das für völkerrechtlich problematisch, weil in die Souveränität des betroffenen Staates eingegriffen wird. Eine höchstrichterliche Klärung steht noch aus.
Wann wird aus einer Sichtung eine Beschlagnahme – und wann läuft die Beschwerdefrist?
Die Sichtung ist noch Teil der Durchsuchung; die Beschlagnahme ist ein eigener Rechtsakt nach §§ 94, 98 StPO. Der Übergang erfolgt mit der richterlichen Beschlagnahmeanordnung oder der endgültigen Entscheidung über die Aufbewahrung der Daten. Für die Beschwerde gegen die Beschlagnahme gilt § 304 StPO, während der Sichtung § 98 Abs. 2 Satz 2 StPO analog.
Welche Grenzen setzt die aktuelle Rechtsprechung 2024/2025 für IT-Beschlagnahmen?
Die Rechtsprechung hat den Grundsatz der Verhältnismäßigkeit geschärft: Die Gewinnung überschießender, für das Verfahren bedeutungsloser Daten ist zu vermeiden (LG München I 19 Qs 24/24). Die Beschlagnahme umfangreicher Datenbestände ohne vorherige Durchsicht und Sortierung ist rechtswidrig (LG Nürnberg-Fürth 12 Qs 60/24). Pauschalzugriffe verletzen Art. 13 GG und das Recht auf informationelle Selbstbestimmung.
