Zurück zur Übersicht
08.07.2025 Fachbeitrag

E-Evidence-Verordnung: Neue Verpflichtungen für Diensteanbieter ab 2026

Update Datenschutz Nr. 215

Mit der Verordnung (EU) 2023/1543 über europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren („E-Evidence-Verordnung“) hat die Europäische Union ein neues Instrument geschaffen, um den grenzüberschreitenden Zugang zu digitalen Daten zu erleichtern. Die Verordnung ist am 18. August 2023 in Kraft getreten (wir berichteten), wird jedoch erst nach Ablauf einer dreijährigen Übergangsfrist ab dem 18. August 2026 unmittelbar anwendbar sein. Ab diesem Zeitpunkt können Strafverfolgungsbehörden aus allen EU-Mitgliedstaaten Anbieter digitaler Dienste direkt zur Herausgabe oder Sicherung elektronischer Beweismittel verpflichten. Für betroffene Unternehmen ergeben sich daraus neue Prüf- und Handlungspflichten, die bereits jetzt organisatorische und rechtliche Vorbereitungen erfordern.

I. Wesentliche Inhalte

Ziel der E-Evidence-Verordnung ist es, den Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel im Rahmen grenzüberschreitender Ermittlungen innerhalb der Europäischen Union zu vereinfachen und zu beschleunigen. Zentrale Instrumente der Verordnung sind die Europäische Herausgabeanordnung („European Production Order“, EPOC) sowie die Europäische Sicherungsanordnung („European Preservation Order“, EPOC-PR). Mit diesen Anordnungen können Ermittlungsbehörden eines EU-Mitgliedstaates Diensteanbieter in einem anderen Mitgliedstaat verpflichten, digitale Daten herauszugeben oder für eine bestimmte Zeitspanne zu sichern, ohne dass hierfür eine Mitwirkung oder Bestätigung durch Justizbehörden des ersuchten Staates erforderlich ist.

Die Anordnung kann dabei alle Arten elektronischer Beweismittel betreffen, insbesondere Teilnehmer-, Verkehrs- und Inhaltsdaten. Die Verordnung enthält zugleich Vorgaben zur Zuständigkeit der anordnenden Stellen, formellen Anforderungen an die Anordnungen sowie zu möglichen Ablehnungsgründen. Auch Regelungen zum Rechtsschutz für betroffene Personen und zur Einbindung nationaler Vollstreckungsbehörden in bestimmten Fällen sind Bestandteil der Verordnung. Die Umsetzung erfolgt über ein neu einzurichtendes, dezentrales IT-Kommunikationssystem zwischen Behörden und Diensteanbietern.

II. Betroffene Unternehmen

Der Anwendungsbereich der E-Evidence-Verordnung ist weit gefasst und betrifft eine Vielzahl an Unternehmen, die digitale Dienste innerhalb der EU bereitstellen. Erfasst sind nicht nur klassische Telekommunikationsunternehmen, sondern auch Anbieter sonstiger Online-Dienste, bei denen die Verarbeitung oder Speicherung personenbezogener Daten eine zentrale Rolle spielt. Die Anwendungsvoraussetzung ist dabei nicht an den Sitz des Unternehmens innerhalb der EU geknüpft, sondern daran, ob sich das jeweilige Angebot an Nutzer in einem oder mehreren Mitgliedstaaten richtet. Hinweise hierfür können etwa die Sprache des Dienstes, die Verfügbarkeit in regionalen App-Stores oder ein lokaler Kundensupport sein.

Zu den adressierten Unternehmen zählen insbesondere solche, die Kommunikationsdienste wie E-Mail-Anbieter, VoIP-Dienste oder Messenger bereitstellen, aber auch Plattformbetreiber, Cloud-Dienstleister und Hosting-Provider, sofern sie Daten in relevantem Umfang verarbeiten oder speichern. Der Begriff des Diensteanbieters wird im Sinne der Verordnung weit ausgelegt, wodurch auch Betreiber von Plattformen mit integrierten Kommunikationsfunktionen oder Nutzerkonten unter die Vorschriften fallen können. Maßgeblich ist, ob über den Dienst eine Kommunikation zwischen Nutzern ermöglicht wird oder ob der Dienst auf die Verwaltung nutzergenerierter Inhalte oder Daten ausgelegt ist.

Eine Unterscheidung nach Unternehmensgröße oder wirtschaftlicher Bedeutung wird in der Verordnung nicht vorgenommen. Somit gelten die Anforderungen unabhängig davon, ob es sich um etablierte Konzerne oder kleinere, spezialisierte Anbieter handelt. Auch die Einbindung externer Dienstleister ändert nichts daran, dass die primäre Verantwortung bei dem jeweiligen Anbieter liegt, der als datenschutzrechtlich Verantwortlicher im Sinne der DSGVO fungiert. In Ausnahmefällen können auch Auftragsverarbeiter von Anordnungen betroffen sein, etwa wenn sie direkt über die angeforderten Daten verfügen.

Insgesamt führt die Verordnung dazu, dass zahlreiche Unternehmen, die bislang nicht in strafverfahrensrechtliche Herausgabeprozesse einbezogen waren, künftig mit hoheitlichen Anfragen aus dem Ausland konfrontiert sein können, was mit rechtlichen und organisatorischen Implikationen verbunden ist.

III. Verfahren bei EPOC und EPOC-PR

Wird ein Diensteanbieter mit einer Herausgabe- oder Sicherungsanordnung nach Maßgabe der E-Evidence-Verordnung konfrontiert, ist unverzüglich auf deren Inhalt und die damit verbundenen Fristen zu reagieren. Die Verordnung sieht für Europäische Herausgabeanordnungen (EPOC) eine Regelfrist von zehn Kalendertagen ab dem Zugang vor, innerhalb derer die angeforderten elektronischen Beweismittel bereitzustellen sind. In besonders dringlichen Fällen kann diese Frist auf acht Stunden reduziert sein. Bereits bei Erhalt der Anordnung sind daher technische und organisatorische Maßnahmen zur Identifikation und Sicherung der betroffenen Daten einzuleiten.

Neben der operativen Umsetzung ist auch eine rechtliche Überprüfung vorzunehmen. Dabei ist festzustellen, ob die Herausgabe im konkreten Einzelfall mit anderen Rechtsvorschriften unvereinbar ist, insbesondere solchen aus Drittstaaten, denen der Anbieter unterliegt. Ebenso ist zu prüfen, ob tatsächliche oder rechtliche Umstände einer fristgerechten Ausführung entgegenstehen. Stellt sich im Rahmen dieser Prüfung heraus, dass ein Ausführungshemmnis vorliegt, ist dies der ausstellenden Behörde unter Angabe der Gründe unter Verwendung des vorgeschriebenen Mitteilungsformulars (Anhang III der Verordnung) unverzüglich mitzuteilen.

Besondere Konstellationen ergeben sich dann, wenn eine EPOC auf Verkehrs- oder Inhaltsdaten abzielt, die nicht ausschließlich der Identifizierung der betroffenen Person dienen. In solchen Fällen wird parallel zur Adressierung des Diensteanbieters auch die zuständige Vollstreckungsbehörde im Mitgliedstaat des Anbieters informiert. Dies gilt jedoch nicht, wenn sich die Straftat und der Wohnsitz der betroffenen Person beide im ausstellenden Staat befinden. Wird die nationale Vollstreckungsbehörde informiert, entfaltet dies eine aufschiebende Wirkung: Die Daten dürfen nur übermittelt werden, wenn innerhalb der vorgesehenen Frist von zehn Tagen bzw. 96 Stunden im Eilfall keine Ablehnungsgründe geltend gemacht wurden oder bereits zuvor ein ausdrücklicher Verzicht auf eine solche Einwendung erklärt wurde. Im Falle einer Ablehnung durch die Vollstreckungsbehörde ist die Ausführung der Anordnung unzulässig.

Für Sicherungsanordnungen (EPOC-PR) gelten ebenfalls unverzügliche Reaktionspflichten. Ab Eingang der Anordnung ist der Diensteanbieter gehalten, die bezeichneten Daten vor Löschung oder Veränderung zu bewahren. Der Sicherungszeitraum beträgt zunächst 60 Tage und kann auf Antrag um maximal weitere 30 Tage verlängert werden. Auch bei einer EPOC-PR ist zu evaluieren, ob die Sicherung rechtlich oder tatsächlich ausgeschlossen ist. Sofern dies der Fall ist, ist eine Mitteilung unter Verwendung des vorgesehenen Formulars an die Anordnungsbehörde zu übermitteln.

Fehlen in einer Anordnung wesentliche Informationen, etwa zur Identität der betroffenen Person oder zur näheren Umschreibung der angeforderten Daten, oder enthält sie offensichtliche formelle Mängel, so kann der Anbieter eine Klarstellung verlangen. Erst mit Zugang der berichtigten oder ergänzten Anordnung beginnt die maßgebliche Umsetzungsfrist zu laufen. Bleibt eine Rückmeldung der anordnenden Stelle innerhalb von fünf Tagen aus, entfällt die Pflicht zur Datensicherung.

Die Verordnung enthält in den Artikeln 10 und 11 zudem eine Reihe von Befreiungstatbeständen. Die Anordnung muss nicht befolgt werden, wenn etwa die ersuchte Behörde nicht zuständig ist, das vorgeschriebene Formular nicht verwendet wurde, die Herausgabe objektiv unmöglich ist oder vorrangige Verpflichtungen aus anderem anwendbaren Recht entgegenstehen. Zu berücksichtigen sind darüber hinaus gesetzliche Schutzvorschriften zugunsten journalistischer Tätigkeit oder von Immunitäten, die einer Offenlegung entgegenstehen können. Ein solcher Ablehnungsgrund ist ebenfalls unter Nutzung des dafür vorgesehenen Formulars gegenüber der Behörde geltend zu machen. Nimmt diese die Begründung nicht hin, wird das Verfahren an die zuständige nationale Vollstreckungsbehörde abgegeben, die eine erneute Prüfung vornimmt. Im Ergebnis kann dies auch zu einer gerichtlichen Klärung führen. Eine unbegründete oder rechtswidrige Verweigerung der Mitwirkung kann hingegen Sanktionen in Form empfindlicher Geldbußen nach sich ziehen, deren Höhe sich an einem bestimmten Prozentsatz des globalen Jahresumsatzes orientiert.

Gegenstand der Anordnungen können sämtliche Kategorien elektronischer Beweismittel sein. Dies umfasst insbesondere Identifizierungsdaten wie Namen, Geburtsdaten oder Kontaktdaten (Teilnehmerdaten), Informationen über Kommunikationsvorgänge und -wege (Verkehrsdaten) sowie gespeicherte Inhalte, darunter Textnachrichten, Dateien oder audiovisuelle Daten (Inhaltsdaten).

Die Verordnung sieht keine einheitliche Kostenerstattung vor. Ob und in welchem Umfang eine Erstattung für die Erfüllung der Anordnung erfolgt, richtet sich nach dem nationalen Recht des ersuchenden Staates. Eine zentrale Übersicht über die jeweils geltenden Regelungen wird künftig durch die EU-Kommission veröffentlicht.

IV. Weitere Pflichten

Über die unmittelbare Umsetzung von Herausgabe- und Sicherungsanordnungen hinaus verpflichtet die E-Evidence-Verordnung Diensteanbieter zur Einhaltung zusätzlicher organisatorischer und technischer Anforderungen. Insbesondere sind geeignete Vorkehrungen zu treffen, um sicherzustellen, dass sowohl die Anordnung selbst als auch die damit verbundenen Daten unter Wahrung der Vertraulichkeit, Integrität und Geheimhaltung verarbeitet werden. Die eingesetzten technischen und betrieblichen Maßnahmen müssen dem jeweils aktuellen Stand der Technik entsprechen und sind regelmäßig zu überprüfen und erforderlichenfalls anzupassen (Art. 13 Abs. 4 E-Evidence-VO).

Anbieter mit Niederlassung außerhalb des Unionsgebiets, die ihre Dienste dennoch in einem oder mehreren Mitgliedstaaten anbieten, sind verpflichtet, eine empfangsberechtigte Kontaktstelle mit Sitz innerhalb der EU zu benennen. Für Anbieter, die in der EU niedergelassen sind, genügt die Bestimmung einer internen Stelle, die für die Bearbeitung der Anordnungen zuständig ist. In beiden Fällen muss gewährleistet sein, dass eingehende Maßnahmen zeitnah entgegengenommen und bearbeitet werden können.

Handelt es sich bei dem betroffenen Unternehmen nicht um den datenschutzrechtlich Verantwortlichen, sondern um einen Auftragsverarbeiter im Sinne von Art. 28 DSGVO, ist dieser verpflichtet, den jeweiligen Verantwortlichen unverzüglich über den Erhalt und die Umsetzung der Anordnung zu informieren. Eine direkte Mitteilung an die betroffene Person ist hingegen nicht zulässig; eine solche bleibt allein der zuständigen Behörde des anordnenden Mitgliedstaates vorbehalten.

V. Fazit und Handlungsempfehlungen

Mit dem Ende der Übergangsfrist im August 2026 wird die E-Evidence-Verordnung für alle betroffenen Diensteanbieter in der EU unmittelbare rechtliche Wirkung entfalten. Unternehmen, deren Dienste auch nur mittelbar auf dem europäischen Markt verfügbar sind, müssen sich frühzeitig mit den Anforderungen der Verordnung auseinandersetzen. Die sehr kurzen Fristen für die Bearbeitung von Herausgabe- und Sicherungsanordnungen erfordern eine sorgfältige interne Vorbereitung sowohl in technischer als auch in organisatorischer Hinsicht.

Es empfiehlt sich daher, bereits jetzt feste Zuständigkeiten im Unternehmen zu definieren und ein standardisiertes Verfahren zur rechtlichen Bewertung eingehender Anordnungen zu etablieren. Unternehmen sollten darüber hinaus sicherstellen, dass technische Maßnahmen zur sicheren Datenidentifikation, -sicherung und -übermittlung implementiert sind. Dabei sind Schnittstellen zur behördlichen Kommunikation ebenso zu berücksichtigen wie etwaige datenschutzrechtliche Konfliktlagen mit Drittstaatenrecht, die in einem internen Prüfmechanismus abgebildet werden sollten.

Angesichts des drohenden Sanktionsrahmens und der praktischen Komplexität der Anordnungsverfahren ist eine frühzeitige und strukturierte Vorbereitung auf die E-Evidence-Verordnung aus Unternehmenssicht unerlässlich. Nur so kann eine rechtssichere, fristgerechte und technisch einwandfreie Umsetzung gewährleistet werden.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.