Datensichtungsdauer: Einleitend muss klargestellt werden, dass es keine gesetzlich vorgegebene Frist gibt, wie lange eine Datensichtung dauern darf. Sie sollte aber zügig erfolgen. Die Sichtungsdauer ist abhängig von den sichergestellten Datenmengen im Einzelfall. Nur bei Haftsachen besteht eine besondere Eilbedürftigkeit, die beweiserheblichen Daten zu sichten und zu beschlagnahmen.
Darüber hinaus gab es in unserer Praxis bis dato keinen Fall, in dem sämtliche gesicherte und gesichtete Daten anschließend auch beschlagnahmt wurden.
Sichtungsmethoden: Die Vielfältigkeit gesicherter Daten und die jeweiligen individuellen Ermittlungsansätze machen unterschiedliche Datenaufbereitungen und Sichtungsmethoden erforderlich. Erstellte Images von Computern oder einzelne Dateien können mittels forensischer Auswertungsprogramme aufbereitet und anschließend von den zuständigen Ermittlern gesichtet werden. Dazu sind in den einzelnen Bundesländern unterschiedliche Software-Produkte im Einsatz. In der Steuerfahndung NRW kommt oftmals FTK (Forensic Tool Kit von Access Data, mittlerweile übernommen von der Exterro Company) oder auch X-Ways (X-Ways AG) zum Einsatz. Bei der Sichtung bieten diese Programme den Vorteil, dass einzelne Dateien lesbar angezeigt und gesichtet werden können, ohne dass die Original-Daten oder das Image verändert werden.
Beispiel FTK: In FTK kann der Ermittler beispielsweise den gesamten Datenbestand zum Fall strukturiert nach Datei-Kategorien geordnet (z.B. Dokumente, Tabellen oder E-Mails) sichten, filtern oder in Echt-Zeit nach fallbezogenen Schlagworten (oder deren Kombination, z.B. nach "Rechnung" und "Firma Mustermann") suchen. Weitere Kategorien wie z.B. die Anzeige aller "verschlüsselter" oder "passwortgeschützter" Dateien. In anderen steuerrechtlichen Fallkonstellationen kommt es z.B. darauf an, wann ein Dokument tatsächlich erstellt, gespeichert, zuletzt gedruckt oder geändert wurde (Fallgestaltungen der Vor- oder Rückdatierung bzw. der nachträglichen Änderung). In diesen Fällen sind etwaige Log- oder Protokoll-Dateien oder allein schon die Metadaten ("Beschreibung und Informationen zu einer Datei") einer Datei entscheidend.
Für das Verfahren relevante Dateien sind in FTK zu markieren (sog. "Lesezeichen" bzw. "Tags") und nach endgültigem Abschluss der Datensichtung wird ein sog. FTK-Bericht mit allen als Verfahrensrelevant gekennzeichneten Dateien erstellt.
Extraktion mobiler Geräte: Für das Sichern mobiler Geräte (Smartphone, Tablet & Co) und die spätere Datensichtung sind andere spezielle Softwareprodukte notwendig. Anders als bei einer Computer-Festplatte, können die in einem mobilen Gerät verbauten verschiedenen Speichereinheiten nicht "einfach kopiert" und für die Ermittler*innen lesbar eingesehen werden. In NRW sind so beispielsweise Produkte wie UFED (Fa. Cellebrite) oder XRY (Fa. MSAB) im Einsatz. Hinzu kommen unterschiedliche Sicherungsverfahren, so dass beispielsweise ein Smartphone teils mehrfach mit unterschiedlichen Methoden und/oder der Software verschiedener Anbieter gesichert werden muss, um den größtmöglichen les- und auswertbaren Datenumfang zu erhalten. Entsprechende Datensicherungen mobiler Geräte (auch "Extraktion" genannt) können mittels Sichtungssoftware (z.B. einem "Reader") aufbereitet, lesbar eingesehen und ausgewertet werden. Ähnlich dem FTK-Bericht sind auch hier verfahrensrelevante Dateien zu kennzeichnen (sog. "Tags") und die so gekennzeichneten Dateien können aus der Anwendung heraus in Berichtsform ausgegeben werden.
Neben dem Problem und dem damit verbundenen erheblich erhöhten Aufwand bei fehlenden Entsperr-Codes mobiler Geräte sind teilweise auch nicht alle Apps bzw. deren Inhalte auslesbar. Sollten verfahrensrelevante Inhalte nicht auswertbar gesichert werden können, so ist teilweise auch das Abfotografieren oder -filmen dieser Inhalte erforderlich.
Virtualisierung als Auswertungsmethode: Da die vorgenannten Auswertungsanwendungen nur bedingt geeignet für eine tiefgreifende Analyse genutzter Datenbankmanagementsysteme (DBMS) oder genutzter Fach-Anwendungen (Fakturierungsprogramme, Warenwirtschaftssysteme, Bedieneroberfläche einer PC-Kasse o.Ä.) sind, stellt die "Virtualisierung" (Erstellung einer VM) gesicherter PC’s oder Server eine andere Methode der Auswertung dar.
Schnittstellenverprobung: Datenbanken aus einem DBMS sind je nach Anwendung und Unternehmensgröße oftmals umfangreich und komplex. In der Praxis hat dieses direkt Auswirkung auf die Sicherungsmethode, zumal der Datenbankdienst für eine Sicherung ggf. erst deaktiviert und somit der laufende Geschäftsbetrieb für die Dauer der Datensicherung unterbrochen werden muss. Auch lassen sich gesicherte Datenbank-Dateien nicht "einfach" in die Prüfsoftware der Prüfer*innen der Finanzverwaltung (derzeit IDEA, Fa. Audicon) kopieren. Bei einem virtualisierten DBMS (VM) kann jedoch anhand der jeweiligen DBMS-Steuerung untersucht werden, inwieweit ein Rohdatenexport in ein für IDEA les- und auswertbares Dateiforma...