Zurück zur Übersicht
05.05.2026 Fachbeitrag

E‑Evidence-Act greift ab August: Was Unternehmen jetzt konkret vorbereiten müssen

Update Datenschutz Nr. 249

Mit dem am 10. März 2026 verabschiedeten deutschen Durchführungsgesetz zur E-Evidence-Verordnung hat der Gesetzgeber die nationalen Voraussetzungen für deren praktische Anwendung geschaffen. Das Gesetz regelt insbesondere Zuständigkeiten, Verfahrensfragen sowie die Durchsetzung entsprechender Anordnungen gegenüber Unternehmen in Deutschland. Hintergrund ist die E-Evidence-Verordnung, die ab dem 18. August 2026 gilt und den grenzüberschreitenden Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel innerhalb der Europäischen Union neu ordnet (wir berichteten). Sie ermöglicht es Behörden, Diensteanbieter unmittelbar in anderen Mitgliedstaaten zur Herausgabe oder Sicherung von Daten zu verpflichten. Für Unternehmen rückt das Thema damit in den Fokus konkreter Compliance-Anforderungen.

I. Betroffene Unternehmen

Der persönliche Anwendungsbereich der E-Evidence-Verordnung ist bewusst weit gefasst und erfasst sämtliche „Diensteanbieter“, die elektronische Kommunikations- oder Datenverarbeitungsleistungen anbieten. Maßgeblich ist dabei nicht die formale Branchenzugehörigkeit, sondern die konkrete Funktion des jeweiligen Geschäftsmodells. Entscheidend ist, ob ein Unternehmen Nutzern die Kommunikation untereinander ermöglicht oder Daten für diese speichert bzw. verarbeitet.

In der Praxis fallen hierunter zunächst klassische Anbieter elektronischer Kommunikationsdienste, insbesondere Telekommunikationsunternehmen, E-Mail-Provider sowie Messenger- und VoIP-Dienste. Typische Beispiele sind Anbieter von E-Mail-Hosting, Unternehmenskommunikationslösungen oder Kollaborationstools. Auch Betreiber von Videokonferenzsystemen oder Business-Messaging-Plattformen können erfasst sein, sofern sie eine interpersonelle Kommunikation ermöglichen.

Darüber hinaus sind Hosting- und Cloud-Dienste zentral betroffen. Hierzu zählen etwa Cloud-Speicheranbieter, Software-as-a-Service (SaaS)-Plattformen, Datenhosting-Dienstleister oder Anbieter von Projektmanagement- und CRM-Systemen, soweit diese Daten für Nutzer speichern oder verarbeiten. Praktisch relevant ist dies insbesondere für Unternehmen, die ihren Kunden digitale Infrastrukturen zur Verfügung stellen, etwa Datenräume, Dokumentenmanagementsysteme oder Plattformlösungen.

Der Anwendungsbereich geht jedoch noch weiter und erfasst auch sonstige Dienste der Informationsgesellschaft, sofern diese Kommunikations- oder Speicherfunktionen bereitstellen. Dazu gehören insbesondere soziale Netzwerke, Online-Marktplätze, Gaming-Plattformen mit Chat-Funktion, Dating-Apps oder Kollaborationsplattformen. Selbst Dienste, bei denen die Kommunikation nur eine Nebenfunktion darstellt – etwa Chatfunktionen in Online-Spielen oder Kommentarfunktionen auf Plattformen – können erfasst sein.

Ebenfalls ausdrücklich einbezogen sind Anbieter von Domain- und Internetinfrastrukturleistungen, etwa Domain-Registrare, Hosting-Provider, CDN-Anbieter oder Anbieter von IP-Adressierungsdiensten. Diese stehen regelmäßig im Fokus, wenn es um die Identifizierung von Nutzern anhand technischer Daten wie IP-Adressen geht.

Unerheblich ist schließlich der Sitz des Unternehmens. Auch Anbieter mit Sitz außerhalb der EU unterfallen der Verordnung, sofern sie ihre Dienste in der Union anbieten, etwa durch eine entsprechende Marktausrichtung oder eine relevante Nutzerbasis innerhalb der EU. Eine Ausnahme besteht lediglich für bestimmte Finanzdienstleistungen; im Übrigen gibt es weder Größen- noch Branchenprivilegien.

II. Herausgabe- und Sicherungsanordnung (EPOC und EPOC-PR)

Kern der E-Evidence-Verordnung sind zwei neue Instrumente: die Europäische Herausgabeanordnung (European Production Order Certificate – EPOC) sowie die Europäische Sicherungsanordnung (European Preservation Order Certificate – EPOC-PR). Diese ermöglichen es Strafverfolgungsbehörden, Diensteanbieter unmittelbar und grenzüberschreitend zur Herausgabe bzw. Sicherung elektronischer Beweismittel zu verpflichten (Art. 5, 6 E-Evidence-VO).

Die EPOC nach Art. 5 E-Evidence-VO verpflichtet den adressierten Diensteanbieter zur Übermittlung der angeforderten Daten direkt an die zuständige Behörde. Die Anordnung muss insbesondere notwendig und verhältnismäßig sein und unterliegt abhängig von der Art der Daten unterschiedlichen materiellen und verfahrensrechtlichen Anforderungen, etwa einem Richtervorbehalt bei Verkehrs- und Inhaltsdaten. Nach Zugang der Anordnung sind die Daten grundsätzlich innerhalb von zehn Tagen zu übermitteln; in Eilfällen verkürzt sich die Frist auf acht Stunden (Art. 10 E-Evidence-VO).

Die EPOC-PR nach Art. 6 E-Evidence-VO dient demgegenüber der Sicherung von Daten, um deren Löschung oder Veränderung zu verhindern. Diensteanbieter sind verpflichtet, die betroffenen Daten zunächst für 60 Tage vorzuhalten (Art. 11 E-Evidence-VO), wobei eine Verlängerung möglich ist. Sie fungiert regelmäßig als vorgelagerte Maßnahme zu einer späteren Herausgabeanordnung.

Für Unternehmen bedeutet dies, dass sie nicht nur zur aktiven Datenübermittlung verpflichtet sein können, sondern auch kurzfristig Maßnahmen zur Datensicherung implementieren und vorhalten müssen. Die Verordnung begründet damit erstmals unmittelbar durchsetzbare, grenzüberschreitende Handlungspflichten gegenüber privaten Diensteanbietern.

III. Deutsches Durchführungsgesetz

Mit dem Gesetz zur Durchführung der Verordnung (EU) 2023/1543 hat der deutsche Gesetzgeber einen eigenständigen nationalen Rechtsrahmen geschaffen, der insbesondere Zuständigkeiten, Verfahren und Durchsetzungsmechanismen konkretisiert. Herzstück ist das Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG), das die unionsrechtlichen Vorgaben in das deutsche Strafverfahrensrecht integriert.

Zentral ist zunächst die Pflicht zur Benennung eines Adressaten: Diensteanbieter müssen eine Niederlassung oder einen Vertreter innerhalb der EU benennen, der für die Entgegennahme und Umsetzung von Herausgabe- und Sicherungsanordnungen verantwortlich ist (§ 3 EBewMG). Dieser Adressat muss mit ausreichenden Befugnissen und Ressourcen ausgestattet sein, um den Anordnungen tatsächlich nachkommen zu können.

Das Gesetz regelt zudem die innerstaatlichen Zuständigkeiten und Verfahren. Für den Erlass und die Vollstreckung von Europäischen Herausgabeanordnungen sind abhängig von der Art der Daten insbesondere Staatsanwaltschaften und Gerichte zuständig (§§ 9, 10 EBewMG), während die Staatsanwaltschaft regelmäßig als Vollstreckungsbehörde fungiert (§ 11 EBewMG). Gleichzeitig wird klargestellt, dass ergänzend die allgemeinen Vorschriften der Strafprozessordnung Anwendung finden (§ 7 EBewMG).

Flankierend sieht das Gesetz umfassende Durchsetzungs- und Sanktionsmechanismen vor. Verstöße gegen Mitwirkungs- und Umsetzungspflichten etwa die nicht rechtzeitige Herausgabe oder Sicherung von Daten können als Ordnungswidrigkeit mit erheblichen Bußgeldern geahndet werden, die sich bei größeren Unternehmen am weltweiten Umsatz orientieren (§ 18 EBewMG).

IV. Handlungsempfehlungen für Unternehmen

Vor dem Hintergrund des Inkrafttretens der E-Evidence-Verordnung am 18. August 2026 sollten betroffene Unternehmen frühzeitig konkrete organisatorische und technische Maßnahmen ergreifen:

1. Zuständigkeiten und „E-Evidence-Response-Prozess“ festlegen

Unternehmen sollten einen klar definierten internen Prozess für den Umgang mit EPOC- und EPOC-PR-Anordnungen etablieren. Hierzu gehört insbesondere die Benennung eines zentralen Ansprechpartners (z. B. Legal/Compliance), die Einrichtung eines 24/7-Erreichbarkeitskonzepts sowie die Definition verbindlicher Eskalationswege, um insbesondere die 8-Stunden-Fristen in Eilfällen einhalten zu können.

2. Adressatenstruktur rechtzeitig implementieren und dokumentieren

Die nach dem Durchführungsgesetz erforderliche Benennung eines Adressaten (Niederlassung oder Vertreter) sollte nicht nur formal erfolgen, sondern organisatorisch unterlegt werden. Der Adressat muss tatsächlich in der Lage sein, Anordnungen zu prüfen, intern weiterzuleiten und umzusetzen. Dazu gehören klare Vollmachten, Zugriff auf relevante Datenstrukturen sowie dokumentierte Kommunikationswege zu Behörden.

3. Technische Prozesse zur Datensicherung und -extraktion vorbereiten

Unternehmen sollten prüfen, ob ihre IT-Systeme eine kurzfristige Sicherung („Freeze“) sowie eine strukturierte Extraktion der relevanten Daten (z. B. Bestands-, Verkehrs- oder Inhaltsdaten) ermöglichen. Praktisch empfiehlt sich die Einrichtung standardisierter Export- und Bereitstellungsprozesse (z. B. für Postfächer, Logfiles oder Accountdaten), um Anfragen fristgerecht und vollständig bedienen zu können.

4. Prüf- und Entscheidungsroutinen entwickeln

Eingehende Anordnungen sollten nicht ungeprüft umgesetzt werden. Unternehmen sollten ein internes Prüfschema entwickeln, das insbesondere die formellen Anforderungen (z. B. zuständige Behörde, richtige Datenkategorie, Fristen) sowie mögliche Ablehnungs- oder Rückfragegründe systematisch abbildet. Diese Prüfung muss so ausgestaltet sein, dass sie auch unter erheblichem Zeitdruck belastbar funktioniert.

5. Schnittstellen zu Datenschutz und Löschkonzepten anpassen

Bestehende Lösch- und Archivierungskonzepte sollten dahingehend überprüft werden, ob sie mit Sicherungsanordnungen kompatibel sind. Insbesondere müssen Mechanismen implementiert werden, die eine sofortige Aussetzung automatisierter Löschroutinen ermöglichen. Gleichzeitig sollte dokumentiert werden, auf welcher Rechtsgrundlage Daten im Rahmen von E-Evidence-Anordnungen verarbeitet und übermittelt werden.

V. Fazit und Ausblick

Mit der E-Evidence-Verordnung und dem flankierenden deutschen Durchführungsgesetz entsteht ein neues, unmittelbar wirkendes Regime für den grenzüberschreitenden Zugriff auf elektronische Beweismittel. Für betroffene Unternehmen bedeutet dies eine deutliche Ausweitung ihrer Mitwirkungspflichten sowie die Notwendigkeit, kurzfristig auf behördliche Anordnungen reagieren zu können. Die Kombination aus engen Fristen, unmittelbarer Adressierung durch ausländische Behörden und empfindlichen Sanktionsmechanismen erhöht den Compliance-Druck erheblich.

In der Praxis wird maßgeblich sein, wie häufig und in welchem Umfang die neuen Instrumente tatsächlich eingesetzt werden und wie die zuständigen Behörden die bestehenden Spielräume – etwa bei Prüf- und Ablehnungsrechten – handhaben. Gleichzeitig sind Schnittstellen zum Datenschutzrecht, insbesondere zur Datenschutz-Grundverordnung, weiterhin mit Unsicherheiten behaftet und werden voraussichtlich Gegenstand weiterer Konkretisierung durch Rechtsprechung und Behördenpraxis sein.

Unternehmen sollten die verbleibende Zeit bis zum 18. August 2026 nutzen, um ihre internen Prozesse, technischen Strukturen und Zuständigkeiten gezielt anzupassen. Die E-Evidence-Regeln werden sich voraussichtlich rasch zu einem festen Bestandteil der regulatorischen Anforderungen an datenverarbeitende Geschäftsmodelle entwickeln.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

30.04.2026
Rechtssicherer Einsatz von KI-Transkriptionstools in Unternehmen
29.04.2026
Konsequenzen der Umsetzung der EmpCo-Richtlinie für Marken und Unternehmenskennzeichen
22.04.2026
Die Werbung mit Umwelt- bzw. Klimafreundlichkeit durch Maßnahmen zur Treibhausgaskompensation unter der EmpCo-Richtlinie
22.04.2026
Einsatz künstlicher Intelligenz im Arbeitsverhältnis: Rechtliche Grenzen, Risiken und Pflichten
20.04.2026
EuGH zur Tragweite des Pastiches – Sampling zwischen Schutz und Freiheit
17.04.2026
Digitale Souveränität in der Praxis: Neue Bewertungsmaßstäbe für Unternehmen
16.04.2026
BGH begrenzt den Einsatz von Art. 15 DSGVO im Forderungskauf: Kein Übergang als Nebenrecht, keine Prozessstandschaft im eigenen Namen
16.04.2026
Aussagen über künftige Umweltleistungen unter der EmpCo-Richtlinie
13.04.2026
Bundestag beschließt Data Act-Durchführungsgesetz
09.04.2026
Die Verwendung von sog. Nachhaltigkeitssiegeln unter der EmpCo-Richtlinie
09.04.2026
Cyber Resilience Act: Wer ist betroffen und was Unternehmen jetzt wissen müssen
08.04.2026
„Datenverarbeitungsdienste“ im Sinne des Data Act – Pars pro toto oder totum pro parte?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.