NCMEC und Kinderpornografie – so funktioniert die Identifizierung

NCMEC ist die Abkürzung für „National Centre for Missing and Exploited Children“, zu Deutsch: „Nationales Zentrum für vermisste und ausgebeutete Kinder“. Dabei handelt es sich um eine US-amerikanische, halbstaatliche Non-Profit-Organisation, die 1984 durch den US-Kongress ins Leben gerufen wurde.⁵

Weitere Informationen findet man auch auf der Website der Organisation: missingkids.org

Die Organisation nimmt Meldungen von Privatpersonen und vor allem von US-amerikanischen Internetdienstleistern (sogenannten „Electronic Service Providern“, ESP) entgegen, prüft diese Hinweise und fertigt standardisierte Berichte, die sogenannten CyberTipline Reports, an.⁶

Diese Reports werden den zuständigen Strafverfolgungsbehörden in den USA, aber auch im Ausland – etwa dem BKA in Deutschland – zur Verfügung gestellt. Auf dieser Grundlage werden dann hierzulande Ermittlungs- und Strafverfahren eingeleitet.

Die Meldungen beziehen sich ganz überwiegend auf kinderpornografische oder jugendpornografische Inhalte nach US-Recht sowie auf Chats mit sexuellem Anbahnungscharakter (Cybergrooming).

Die Reports weisen einen sehr einheitlichen Aufbau auf. Auf dem Deckblatt finden sich eine individuelle Reportnummer, Datum/Uhrzeit der Erstellung sowie eine Dringlichkeitsstufe.⁷

Das NCMEC unterscheidet dabei u. a. folgende Level:

1. Level 1: akute oder unmittelbar bevorstehende Gefahr für ein Kind,
2. Level 2: Anhaltspunkte für eine mögliche Gefahr in naher Zukunft,
3. Level 3: Risiko unklar, weitere Informationen nötig,
4. Level E: Standard-Level für Provider-Meldungen ohne weitere Angaben.

Gerade bei Funden einzelner Dateien mit Missbrauchsdarstellungen nach einem automatischen Scan ist meist das Level E relevant.

Auf den weiteren Seiten folgen u. a.:

• Angaben zum meldenden Provider,
• Zeitpunkt der Feststellung,
• Dateiname / Hashwert / Speicherort,
• IP-Adresse und ggf. Standortdaten,
• Hinweise auf das mutmaßlich betroffene Nutzerkonto.

Rechtsgrundlage in den USA ist insbesondere 18 U.S.C. § 2258A („Reporting requirements of electronic communication service providers“). Er verpflichtet US-Provider zur Meldung von Hinweisen auf sexuellen Kindesmissbrauch an das NCMEC.⁸

Typische meldende Dienste sind z. B.:

• Social Media: Facebook, Instagram
• Messenger: WhatsApp, Snapchat
• Cloud-/Speicherdienste: Dropbox, Google Drive, iCloud
• E-Mail: Gmail, Outlook/Microsoft, Yahoo

Deutsche / europäische Anbieter sind dazu nach heutigem Stand nicht in gleicher Weise verpflichtet. Allerdings wird in der EU – Stichwort EU-Chatkontrolle – ein vergleichbares Meldesystem diskutiert.⁹

Provider setzen typischerweise auf Hash-Matching bzw. PhotoDNA-ähnliche Systeme. Dateien werden beim Upload automatisiert in eine Art „Fingerabdruck“ (Hashwert) umgerechnet und mit Datenbanken bereits bekannter CSAM-Dateien abgeglichen.¹⁰

Kommt es zu einer Übereinstimmung („Match“), wird der Fund samt Metadaten (Nutzerkennung, IP, Zeitstempel) an das NCMEC gemeldet. Für Nutzer bedeutet das: Es braucht keinen menschlichen Prüfer, damit eine Meldung ausgelöst wird.

Wird eine Datei als kinderpornografisch erkannt, sperrt der Provider in der Regel den konkreten Inhalt und teilweise auch das Konto. Gleichzeitig wird der Fund an das NCMEC übertragen.

Von dort aus können deutsche Behörden – in der Regel das BKA – den Report abrufen. Das BKA übermittelt den Hinweis dann an die zuständige Staatsanwaltschaft / LKA, die vor Ort ein Ermittlungsverfahren einleitet.¹¹

Typische nächste Schritte in Deutschland sind:

• Einleitung eines Ermittlungsverfahrens wegen §§ 184b, 184c StGB,
• Hausdurchsuchung zur Sicherung weiterer Datenträger,
• forensische Auswertung,
• ggf. Vernehmung des Beschuldigten.

Die Zahlen sind in den letzten Jahren deutlich angestiegen. Während bis 2014 nur wenige tausend Meldungen pro Jahr an das BKA gingen, lagen die Zahlen ab 2019 bereits im deutlich fünfstelligen Bereich. 2021 berichtete das BKA von rund 79.700 Meldungen aus den USA, aus denen in Deutschland zehntausende Ermittlungsverfahren entstanden.¹²

Der Trend: mehr Scans in den USA → mehr Meldungen beim NCMEC → mehr Verfahren in Deutschland.

Kurz gesagt: Ja, meist schon. Deutsche Gerichte sehen die Meldungen in der Regel nicht als „verbotene Beweismittel“, da sie von privaten US-Dienstleistern aufgrund US-amerikanischer Pflichten an eine US-Stelle übermittelt wurden – und nicht auf Veranlassung deutscher Behörden.¹³

Erst mit dem Eingang beim BKA liegt ein deutscher Ermittlungsansatz vor. Ab dann müssen deutsche Behörden die deutschen Verfahrensrechte beachten. Die Meldung selbst ist aber ein hinreichender Anfangsverdacht für Hausdurchsuchungen.

Die Meldung selbst führt oft sofort zu einem Verfahren. Das heißt aber nicht, dass es zwingend zu einer Verurteilung kommen muss. Entscheidend ist, ob:

• der Account eindeutig zugeordnet werden kann,
• weitere Dateien auf den beschlagnahmten Datenträgern gefunden werden,
• oder ob es sich um einen Einzelfund ohne Kontext handelt.

Gerade bei IP-Adressen, Familienanschlüssen, Firmenanschlüssen oder offenen WLANs bestehen gute Verteidigungsansätze. Auch die Frage, ob der Hash-Treffer tatsächlich deutschem Recht nach § 184b StGB entspricht, lässt sich angreifen.

Wichtig: Beschuldigte sollten keine Aussage bei der Polizei machen und zunächst Akteneinsicht über einen Anwalt nehmen lassen. Erst danach sollte die Verteidigungsstrategie festgelegt werden.

Unsere Kanzlei vertritt bundesweit Mandanten beim Vorwurf von Kinderpornografie, Jugendpornografie und Cybergrooming – auch in Konstellationen mit NCMEC-Auslöser.