EU-E-Evidence-Paket: 22 Staaten drohen Vertragsverletzungsverfahren

Weniger als vier Monate vor dem Start des neuen Rechtsrahmens für grenzüberschreitende elektronische Beweismittel – dem sogenannten „E-Evidence"-Paket – haben 22 EU-Staaten ihre nationalen Umsetzungsfristen verpasst. Die Übergangsphase endet am 18. August 2026. Dann tritt die Verordnung (EU) 2023/1543 in Kraft und verändert grundlegend, wie Strafverfolgungsbehörden auf Cloud-Daten jenseits der Landesgrenzen zugreifen.

Während neue EU-Verordnungen wie das E-Evidence-Paket den Zugriff auf Daten regeln, müssen Unternehmen gleichzeitig die bestehenden Dokumentationspflichten der DSGVO rechtssicher bewältigen. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis zeitsparend und ohne rechtliche Lücken zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Brüssel mahnt zur Eile

Im März 2026 verschickte die EU-Kommission förmliche Aufforderungsschreiben an 22 Mitgliedstaaten. Der Vorwurf: Sie haben die E-Evidence-Richtlinie nicht fristgerecht bis zum 18. Februar 2026 in nationales Recht umgesetzt. Auf der Liste stehen große Volkswirtschaften wie Frankreich, Österreich und die Niederlande, aber auch Belgien, Griechenland, Polen und Schweden.

Die betroffenen Staaten haben bis Ende Mai 2026 Zeit, auf die Aufforderung zu reagieren. Bleiben die Antworten unbefriedigend, drohen begründete Stellungnahmen und letztlich Klagen vor dem Europäischen Gerichtshof mit möglichen Geldstrafen. Zum ursprünglichen Stichtag hatten lediglich vier Länder die nötigen Gesetze verabschiedet: Kroatien, Italien, Litauen und die Slowakei.

Deutschland hat sich immerhin auf den Weg gemacht. Der Bundestag verabschiedete Ende Januar 2026 das nationale E-Evidence-Gesetz, das Mitte März im Bundesgesetzblatt veröffentlicht wurde. Es schafft die rechtliche Grundlage für die neuen Europäischen Herausgabe- und Sicherungsanordnungen.

Neue Pflichten für Unternehmen

Das Herzstück der neuen Regeln sind zwei Instrumente: die Europäische Herausgabeanordnung (EPOC) und die Europäische Sicherungsanordnung (EPOC-PR). Ab August 2026 müssen Dienstanbieter – von Cloud-Speichern über soziale Netzwerke bis zu Messengerdiensten – innerhalb von zehn Tagen auf eine Herausgabeanordnung reagieren. Bei akuter Lebensgefahr schrumpft diese Frist auf acht Stunden.

Die Sicherungsanordnung verpflichtet Unternehmen, Daten für 60 Tage „einzufrieren", während die Behörden die rechtlichen Voraussetzungen für eine vollständige Herausgabe klären. Nach Schätzungen von Rechtsexperten der Kanzlei Heuking sind allein in Deutschland rund 9.000 Unternehmen von den neuen Regeln betroffen. Der Begriff des Dienstanbieters ist weit gefasst: Er umfasst nicht nur klassische Telekommunikationsfirmen, sondern auch Internet-Domain-Registrierungsstellen und zahlreiche Dienste der Informationsgesellschaft.

Jeder Anbieter, der seine Dienste in der EU anbietet, muss einen ständigen Zustellungsbevollmächtigten benennen – entweder eine Niederlassung oder einen Rechtsvertreter innerhalb der Union. Diese Stelle ist rechtlich für die Annahme und Ausführung von Anordnungen verantwortlich. Bei Verstößen drohen Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes.

Die technische Hürde: e-CODEX

Neben den rechtlichen Fragen bereitet auch die technische Umsetzung Kopfzerbrechen. Das System basiert auf der dezentralen IT-Plattform e-CODEX, die den sicheren Austausch von Anordnungen und Daten zwischen Justizbehörden und Anbietern ermöglichen soll. Die Kommission verabschiedete die technischen Spezifikationen zwar im Juli 2025, doch Entwickler und Branchenverbände melden Bedenken an.

Ein konkretes Problem: Die Übertragungskapazität ist auf 25 Megabyte pro Vorgang begrenzt. Für komplexe Ermittlungen mit großen Datensätzen oder Multimedia-Dateien könnte das schnell zu wenig sein. Zudem war die Registrierungsanwendung für Dienstanbieter Anfang 2026 noch nicht in allen Mitgliedstaaten verfügbar.

Rechtsexperten von Baker McKenzie betonen: Unternehmen müssen nicht nur die technische Anbindung an die E-Justiz-Infrastruktur vorbereiten, sondern auch ihre Mitarbeiter für die schnelle Prüfung von Anordnungen schulen. Zwar können Anbieter Widerspruch einlegen – etwa wenn Daten dem Berufsgeheimnis unterliegen oder die Anordnung offensichtlich gegen Grundrechte verstößt –, doch die Daten müssen während der Prüfung gesichert bleiben.

Kollision mit internationalem Recht

Ein Dauerbrenner für multinationale Konzerne ist der mögliche Konflikt zwischen den EU-Regeln und Gesetzen von Drittstaaten, insbesondere dem US-amerikanischen CLOUD Act. Während die EU-Verordnung den Zugriff innerhalb der Union erleichtert, schafft sie einen parallelen Rechtsweg zur Datenschutz-Grundverordnung (DSGVO). Deren Artikel 48 verbietet grundsätzlich die Übermittlung personenbezogener Daten an ausländische Behörden, es sei denn, sie basiert auf internationalen Abkommen.

Ohne ein abgeschlossenes bilaterales Abkommen zwischen der EU und den USA droht eine „rechtliche Kollision": Die Befolgung einer EU-Anordnung könnte gegen US-Recht verstoßen – und umgekehrt. Verhandlungen über ein solches Abkommen laufen zwar seit 2019, doch eine Einigung ist bis heute nicht in Sicht. Unternehmen müssen das Risiko widersprüchlicher Zuständigkeiten selbst managen und aufwendige Verhältnismäßigkeitsprüfungen durchführen.

Paradigmenwechsel im Strafrecht

Der Übergang vom zwischenstaatlichen Kooperationsmodell hin zu einer direkten Anordnung an den Dienstanbieter ist ein grundlegender Wandel im europäischen Strafrecht. Die EU hat die Hürden für die Strafverfolgung deutlich gesenkt – unter anderem, indem sie für bestimmte Beweiskategorien das Erfordernis der beiderseitigen Strafbarkeit abgeschafft hat. Die untersuchte Tat muss also nicht mehr sowohl im anfordernden als auch im bereitstellenden Staat strafbar sein.

Für die Wirtschaft bedeutet das einen massiven Anstieg des administrativen und rechtlichen Aufwands. Unternehmen übernehmen faktisch eine „quasi-richterliche" Rolle: Sie müssen die Echtheit und Rechtmäßigkeit eingehender Anordnungen unter extremem Zeitdruck prüfen. Die gesamtschuldnerische Haftung von Dienstanbieter und Zustellungsbevollmächtigtem erhöht den Druck zusätzlich – die Wahl des Rechtsvertreters wird zur strategischen Entscheidung.

Die steigende Komplexität digitaler Gesetze wie E-Evidence erfordert von Compliance-Verantwortlichen ein tiefgreifendes Verständnis aller Dokumentationspflichten. Erfahren Sie, welche Pflichtfelder im Verarbeitungsverzeichnis oft übersehen werden und wie Sie Bußgelder von bis zu 2 % des Jahresumsatzes effektiv vermeiden. Experten-Anleitung und rechtssichere Excel-Vorlage gratis sichern

Datenschützer kritisieren zudem das Fehlen eines zentralen Spezialitätsprinzips, das verhindern würde, dass Beweise für andere Zwecke als die ursprüngliche Ermittlung verwendet werden. Die Geschwindigkeit des neuen Systems könnte auf Kosten einer robusten Kontrolle gehen, warnen sie.

Ausblick: Hektik vor dem Stichtag

Mit dem nahenden Ende der Frist für die Mitgliedstaaten Ende Mai erwarten Beobachter einen Schub an nationalen Gesetzgebungsaktivitäten. Regierungen, die unter dem Druck der Kommission stehen, dürften ihre Umsetzungsprozesse beschleunigen – möglicherweise mit einer ganzen Welle neuer Gesetze quer durch Europa. Diese Hektik könnte für Dienstanbieter neue Probleme schaffen, die ihre Compliance-Handbücher an unterschiedliche nationale Nuancen anpassen müssen.

Ab dem 18. August 2026 gilt die E-Evidence-Verordnung in allen Mitgliedstaaten außer Dänemark, das einen Opt-out im Bereich der justiziellen Zusammenarbeit hat. Unternehmen, die noch keine Kontaktstellen benannt oder die nötigen technischen Vorkehrungen getroffen haben, riskieren umsatzabhängige Strafen. Die kommenden Monate werden zeigen, ob das dezentrale IT-System das erwartete Anfragevolumen bewältigen kann – und ob der Druck der Kommission ausreicht, um bis zum Spätsommer ein harmonisiertes Rechtsumfeld zu schaffen.

de | wirtschaft | 69288372 |