Digitale Beweismittel unter Zeitdruck: Die E-Evidence-Verordnung und ihre weitreichenden Folgen für Unternehmen und Kommunen

Von /

Einleitung: Eine neue Ära der Strafverfolgung in der EU

Die Digitalisierung hat nahezu jeden Aspekt unseres Lebens durchdrungen – und damit auch die Kriminalität. Straftaten werden zunehmend im digitalen Raum begangen oder hinterlassen dort ihre Spuren. Doch während Daten global und in Sekundenschnelle reisen, sind die Mechanismen der Strafverfolgung oft noch an physische Grenzen gebunden. Dieser Umstand hat in der Vergangenheit die grenzüberschreitende Ermittlung erheblich verlangsamt und erschwert.

Hier setzt die E-Evidence-Verordnung der Europäischen Union an. Mit der Verabschiedung der Verordnung (EU) 2023/1543 und der Richtlinie (EU) 2023/1544, die im Juli 2023 in Kraft getreten sind, hat die EU einen entscheidenden Schritt unternommen, um die Rechtshilfe in Strafsachen zu modernisieren. Unter dem Schlagwort „E-Evidence“ wurde ein rechtlicher Rahmen geschaffen, der Ermittlungsbehörden aus den EU-Mitgliedstaaten den direkten Zugriff auf elektronische Beweismittel ermöglicht, die bei Dienstleistern in anderen Mitgliedstaaten gespeichert sind.

Das neue Regelwerk ist eine Antwort auf die Herausforderungen der digitalen Welt, stellt jedoch gleichzeitig eine massive Neuerung und eine beträchtliche Last für eine Vielzahl von Akteuren dar. Die Verordnung verpflichtet nicht nur große, internationale Tech-Konzerne, sondern auch eine Fülle von kleinen und mittelständischen Unternehmen (KMU) sowie öffentliche Verwaltungen und Kommunen, sich auf einen neuen, straffen Prozess zur Herausgabe von Daten einzustellen. Dieser Blog-Artikel beleuchtet die Kernmechanismen der E-Evidence-Verordnung, die spezifischen Pflichten für Unternehmen und die öffentliche Hand und gibt praktische Handlungsempfehlungen, um den Herausforderungen dieser digitalen Rechtshilfe gewachsen zu sein.

Was genau ist die E-Evidence-Verordnung?

Bevor wir uns den konkreten Auswirkungen widmen, ist es essenziell, die grundlegenden Konzepte zu verstehen. Die E-Evidence-Verordnung besteht aus zwei zentralen Säulen:

  1. Die E-Evidence-Verordnung (Verordnung (EU) 2023/1543): Dieses Dokument etabliert zwei neue Instrumente: die Europäische Herausgabeanordnung (European Production Order) und die Europäische Sicherungsanordnung (European Preservation Order). Mit diesen Anordnungen können Strafverfolgungsbehörden in einem Mitgliedstaat elektronische Beweismittel direkt von einem Dienstleister in einem anderen Mitgliedstaat anfordern.
  2. Die E-Evidence-Richtlinie (Richtlinie (EU) 2023/1544): Die Richtlinie ergänzt die Verordnung, indem sie die Benennung von nationalen Vertretern oder Niederlassungen regelt, die als zentrale Anlaufstelle für die Bearbeitung der Anordnungen dienen sollen. Dies ist der Teil des Regelwerks, der die Organisationen direkt betrifft und sie in die Pflicht nimmt, die reibungslose Kommunikation mit den Behörden sicherzustellen.

Die Verordnung zielt darauf ab, die althergebrachten Rechtshilfeverfahren, die oft langwierig und bürokratisch sind, zu umgehen. Ein deutscher Staatsanwalt, der im Rahmen einer Ermittlung eine E-Mail oder Chatnachricht eines in Frankreich ansässigen Verdächtigen benötigt, die bei einem amerikanischen Cloud-Anbieter gespeichert ist, der eine Niederlassung in Irland hat, musste bisher ein komplexes Rechtshilfegesuch stellen. Dieses Verfahren konnte Monate, wenn nicht sogar Jahre in Anspruch nehmen. Die E-Evidence-Verordnung verspricht, diesen Prozess auf wenige Stunden oder Tage zu verkürzen.

Die Kerninstrumente: Herausgabe- und Sicherungsanordnungen

Das Herzstück der Verordnung sind die neuen Anordnungen, die den direkten Kontakt zwischen den Ermittlungsbehörden und den Dienstleistern ermöglichen:

1. Die Europäische Herausgabeanordnung (EPO)

Die E-Evidence-Verordnung schafft die rechtliche Grundlage für die E-Evidence-Anordnung, die bei einem Dienstleister die Herausgabe von elektronischen Beweismitteln erzwingt. Diese Beweismittel können in verschiedene Kategorien unterteilt werden:

  • Verkehrs- und Teilnehmerdaten: Hierbei handelt es sich um Metadaten wie IP-Adressen, Zeitstempel, E-Mail-Adressen oder Telefonnummern. Diese Daten sind oft der erste Schritt bei der Identifizierung eines Verdächtigen.
  • Bestandsdaten: Diese umfassen persönliche Daten des Nutzers, wie Name, Adresse, Geburtsdatum, und dienen der Identifizierung.
  • Inhaltsdaten: Dies sind die sensibelsten Daten, die den eigentlichen Inhalt der Kommunikation betreffen, wie E-Mails, Chatverläufe, Bilder, Videos und Dokumente.

Die Herausgabeanordnung kann in jedem Mitgliedstaat von einer „ausstellenden Behörde“ (meist Staatsanwaltschaften oder Richter) erlassen werden und muss von einem „benannten Vertreter“ des Dienstleisters im „Vollstreckungsstaat“ (dem Staat, in dem der Dienstleister seine Niederlassung hat) befolgt werden.

2. Die Europäische Sicherungsanordnung (EPO)

Parallel zur Herausgabeanordnung existiert die Sicherungsanordnung. Ihr Zweck ist es, die Löschung oder Veränderung von elektronischen Beweismitteln zu verhindern, während die ausstellende Behörde die eigentliche Herausgabeanordnung vorbereitet. Sie friert die Daten sozusagen für einen bestimmten Zeitraum ein, damit sie nicht unwiederbringlich verloren gehen.

Pflichten und Herausforderungen für Unternehmen

Die E-Evidence-Verordnung betrifft bei Weitem nicht nur die großen US-Tech-Giganten, die in Europa Niederlassungen unterhalten. Der Anwendungsbereich ist weitreichender, als viele vermuten.

Wer gilt als „Dienstanbieter“?

Die Verordnung definiert „Dienstanbieter“ sehr breit. Darunter fallen:

  • Anbieter von Internet- und Telekommunikationsdiensten: ISPs, Mobilfunkanbieter, E-Mail-Dienste.
  • Social-Media-Plattformen und Messenger-Dienste: Facebook, WhatsApp, Telegram, etc.
  • Cloud-Dienste: Anbieter von Speicher- und Hosting-Diensten.
  • Auch Anbieter, deren Datenspeicherung kein wesentlicher Bestandteil der Dienstleistung ist: Sofern Daten für Nutzer gespeichert oder verarbeitet werden, wie es im Referentenentwurf des BMJV beispielhaft bei Rechts-, Architektur-, Ingenieur- und Buchführungsdienstleistungen erwähnt wird, können auch diese Unternehmen von der Verordnung betroffen sein.

Selbst eine deutsche Firma, die eine Website mit einem Kunden-Login betreibt oder eine interne Cloud-Lösung anbietet, könnte zur Herausgabe von Daten verpflichtet sein, wenn sich der Nutzer der Dienste im Ausland aufhält. Das entscheidende Kriterium ist oft nicht der Standort des Unternehmens, sondern die Präsenz auf dem Markt eines Mitgliedstaates.

Die zentrale Herausforderung: Einhaltung der Fristen

Der wohl größte Schock für viele Unternehmen ist der enorme Zeitdruck, unter dem sie stehen. Die Verordnung sieht vor:

  • In Eilfällen: Eine Herausgabeanordnung für Verkehrs- und Bestandsdaten muss innerhalb von 8 Stunden nach Empfang ausgeführt werden. Das ist eine äußerst knappe Frist, die eine lückenlose Erreichbarkeit und sofortige Reaktionsfähigkeit erfordert.
  • In Standardfällen: Eine Herausgabeanordnung muss innerhalb von 10 Tagen beantwortet werden.

Diese kurzen Fristen stellen Unternehmen vor immense logistische, technische und rechtliche Herausforderungen. Ein Unternehmen, das nicht über die nötigen Prozesse verfügt, um eine Anfrage schnell zu bearbeiten, riskiert hohe Bußgelder.

Praktische Implikationen und Handlungsbedarf für die IT und Rechtsabteilung

Unternehmen müssen sich proaktiv auf die E-Evidence-Verordnung vorbereiten. Dies erfordert eine enge Zusammenarbeit zwischen der Rechts- und der IT-Abteilung.

  1. Prozess etablieren: Es muss ein klar definierter, automatisierter interner Prozess für den Empfang, die Überprüfung und die Bearbeitung von Herausgabeanordnungen geschaffen werden. Wer ist der Ansprechpartner? Wie werden die Anfragen verifiziert? Wer hat die Berechtigung, die Daten herauszugeben?
  2. Benannten Vertreter bestimmen: Die Richtlinie verlangt die Benennung eines Vertreters in der EU. Auch wenn dies für manche Unternehmen eine Herausforderung darstellen mag, ist es unerlässlich, eine zentrale Anlaufstelle zu schaffen, die Anfragen entgegennimmt.
  3. Technologie-Check: Unternehmen müssen ihre IT-Infrastruktur überprüfen, um sicherzustellen, dass sie in der Lage sind, die geforderten Daten schnell und rechtssicher zu extrahieren. Oft sind die erforderlichen Daten über verschiedene Systeme verteilt, was eine konsistente und schnelle Herausgabe erschwert.
  4. Umgang mit Rechtskonflikten: Die E-Evidence-Verordnung wurde so konzipiert, dass sie dem nationalen Recht vorgeht. Dies stellt einen potenziellen Konflikt mit der Datenschutz-Grundverordnung (DSGVO) und dem deutschen Grundgesetz (insbesondere dem Recht auf informationelle Selbstbestimmung) dar. Unternehmen müssen sich der Risiken bewusst sein und im Zweifelsfall rechtliche Beratung einholen. Sie müssen sicherstellen, dass die Herausgabe der Daten rechtlich gedeckt ist und sie nicht gegen eigene Datenschutzbestimmungen verstoßen. Die Verordnung sieht zwar Schutzmechanismen vor (z. B. eine Ablehnungsmöglichkeit in bestimmten Fällen), doch die Hürden sind hoch.
  5. Risikomanagement: Nichtbeachtung der Verordnung kann schwerwiegende Konsequenzen haben. Der Referentenentwurf des BMJV sieht Bußgelder für Verstöße vor, die existenzbedrohend sein können.

Besondere Aspekte für die öffentliche Verwaltung und Kommunen

Die E-Evidence-Verordnung betrifft nicht nur die Privatwirtschaft. Auch die öffentliche Hand steht vor einer doppelten Herausforderung.

1. Die öffentliche Verwaltung als Anordnungsbehörde

In ihrer Rolle als Teil der Strafverfolgung sind kommunale und öffentliche Behörden (z. B. die Polizei) in der Lage, Europäische Herausgabeanordnungen auszustellen. Dies ist eine neue, direkte Möglichkeit, an digitale Beweise zu gelangen. Dies hat jedoch auch weitreichende Konsequenzen:

  • Schulungsbedarf: Mitarbeiter in Polizeibehörden, Staatsanwaltschaften und Gerichten müssen umfassend geschult werden. Sie müssen die neuen Regelungen kennen, wissen, wie man Anordnungen korrekt erstellt und wie man die direkten Verfahrens- und Kommunikationswege nutzt.
  • Etablierung interner Abläufe: Es müssen klare Prozesse zur Beantragung und Verfolgung von Anordnungen geschaffen werden. Dies umfasst die digitale Infrastruktur, um die Anfragen sicher zu übermitteln und die erhaltenen Daten zu verarbeiten.

2. Die öffentliche Verwaltung als „Dienstanbieter“

Dieser Aspekt wird oft übersehen, ist aber von entscheidender Bedeutung. In vielen Kommunen und Verwaltungen werden digitale Bürgerdienste angeboten. Ein Online-Rathaus, ein Portal für die Müllabfuhr-Anmeldung oder eine digitale Bibliothek – all dies sind Dienste, bei denen elektronische Daten über Bürger gespeichert werden. In diesem Kontext werden die Verwaltungen selbst zu „Dienstanbietern“ im Sinne der Verordnung.

  • Neue Pflichten: Eine Kommune könnte eine Europäische Herausgabeanordnung aus einem anderen Mitgliedstaat erhalten und wäre verpflichtet, die Daten eines deutschen Bürgers herauszugeben. Die Verwaltung muss in der Lage sein, auf solche Anfragen zu reagieren, ihre Rechtmäßigkeit zu prüfen und die Daten innerhalb der vorgeschriebenen Fristen bereitzustellen.
  • Sicherheits- und Datenschutzfragen: Die Herausgabe von Bürgerdaten an ausländische Behörden wirft komplexe Fragen des Datenschutzes auf. Die Verwaltung muss sicherstellen, dass sie über die notwendigen IT-Sicherheitsstandards verfügt, um die Daten sicher zu übermitteln und dass die Anfrage auch den rechtlichen Anforderungen genügt.

Dies bedeutet, dass die IT-Abteilungen der Kommunen und Verwaltungen dieselben Vorbereitungen treffen müssen wie die der privaten Unternehmen. Sie benötigen interne Abläufe, geschultes Personal und die technische Kapazität, um auf diese Anfragen zu reagieren.

Die Umsetzung in Deutschland: Ein Blick auf den Referentenentwurf des BMJV

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat einen Referentenentwurf zur Umsetzung der E-Evidence-Verordnung vorgelegt. Dieser Entwurf zeigt, wie die EU-Vorgaben in deutsches Recht integriert werden sollen. Die wesentlichen Punkte des Entwurfs sind:

  • Klärung der Zuständigkeiten: Der Entwurf präzisiert, welche deutschen Behörden als „ausstellende Behörden“ fungieren können und welche als „Empfängerbehörden“ zuständig sind.
  • Anpassungen im Strafprozessrecht: Es werden neue Bestimmungen in die Strafprozessordnung (StPO) aufgenommen, die es deutschen Behörden ermöglichen, die Instrumente der Verordnung zu nutzen.
  • Sanktionen: Der Entwurf sieht Bußgeldvorschriften vor, um die Einhaltung der Verordnung durch die Dienstleister sicherzustellen. Diese können im Fall der Nichtbeachtung empfindliche Strafen nach sich ziehen.
  • Datenschutz als zentrales Thema: Der Entwurf versucht, einen Spagat zwischen den direkten Vorgaben der Verordnung und den hohen Anforderungen des deutschen Datenschutzes zu schaffen. Er sieht vor, dass die nationalen Datenschutzbehörden über Anordnungen, die Inhaltsdaten betreffen, informiert werden.

Die Umsetzung des Gesetzes ist ein komplexer Prozess, der rechtliche Unsicherheiten mit sich bringt. Es ist davon auszugehen, dass es auch nach Inkrafttreten zu rechtlichen Auseinandersetzungen kommen wird, insbesondere im Hinblick auf die Verhältnismäßigkeit der Anordnungen und den Schutz der Grundrechte.

Handlungsempfehlungen für proaktive Compliance

Angesichts der bevorstehenden Pflichten ist es entscheidend, jetzt zu handeln. Abwarten ist keine Option, da die knappen Fristen eine schnelle Reaktion unmöglich machen.

Checkliste für Unternehmen und Verwaltungen:

  1. Risikoanalyse durchführen: Überprüfen Sie, ob und in welchem Umfang Ihr Unternehmen oder Ihre Behörde als „Dienstanbieter“ im Sinne der Verordnung gilt.
  2. Struktur und Prozesse aufbauen: Richten Sie eine zentrale Anlaufstelle oder ein Team ein, das für die E-Evidence-Anfragen zuständig ist. Legen Sie klare interne Abläufe fest.
  3. Technologie überprüfen: Stellen Sie sicher, dass Ihre IT-Systeme in der Lage sind, die geforderten Daten schnell und präzise zu extrahieren. Dies kann eine Überarbeitung der Datenarchitektur erfordern.
  4. Mitarbeiter schulen: Sorgen Sie dafür, dass das zuständige Personal die rechtlichen und technischen Aspekte der Verordnung versteht.
  5. Rechtliche Beratung einholen: Konsultieren Sie Rechtsexperten, um sicherzustellen, dass Sie die Verordnung korrekt umsetzen und potenzielle Rechtskonflikte (z.B. mit der DSGVO) minimieren.
  6. Kommunikation vorbereiten: Legen Sie fest, wie Sie mit der anfragenden Behörde kommunizieren, um die Einhaltung der Fristen sicherzustellen.
  7. Sicherheitsstandards erhöhen: Stellen Sie sicher, dass die Übermittlung von Daten sicher und verschlüsselt erfolgt.

Fazit: Die neue Realität der digitalen Rechtshilfe

Die E-Evidence-Verordnung ist ein Paradigmenwechsel. Sie ist der Versuch, das Rechtssystem an die Realitäten des digitalen Zeitalters anzupassen, und schafft einen direkten Weg für grenzüberschreitende Ermittlungen. Für Unternehmen und die öffentliche Verwaltung bedeutet dies das Ende der sorglosen Datenspeicherung. Mit knappen Fristen und der Gefahr von empfindlichen Strafen ist es unerlässlich, sich rechtzeitig auf die neuen Verpflichtungen vorzubereiten. Wer proaktiv handelt und robuste interne Prozesse etabliert, kann die Risiken minimieren und die Compliance sicherstellen.

Der Übergang wird nicht reibungslos verlaufen. Doch in der digitalen Welt, in der Daten zu den wertvollsten Beweismitteln zählen, ist die E-Evidence-Verordnung ein unaufhaltsamer Schritt in Richtung eines effizienteren Justizsystems. Die Herausforderung besteht nun darin, diesen Wandel nicht nur zu verstehen, sondern aktiv zu gestalten.

Nach oben scrollen