Ein Angebot von Anwaltspraxis Wissen

Beitrag

Strafrecht
Aus Infobrief Strafrecht 2026 #02

eEvidence-Verordnung

I.

Einführung

Digitale Spuren stellen nationale Ermittler seit jeher vor Herausforderungen – insbesondere, wenn die Täter international agieren. Mit dem Gesetzespaket „eEvidence“ (elektronische Beweismittel) der Europäischen Union wird ein grundlegender Wandel im Umgang mit digitalen Beweismitteln in grenzüberschreitenden Strafverfahren eingeleitet. Damit reagiert die EU auf die Herausforderung, elektronische Beweise effizient und rechtssicher über Staatsgrenzen hinweg zu beschaffen. Dies erfolgt vor dem Hintergrund, dass sich die traditionellen Rechtshilfeverfahren, wie speziell das Europäische Rechtshilfeübereinkommen oder der Europäische Ermittlungsbefehl, in der Praxis oft als zu langsam und bürokratisch erwiesen haben (so schon Erwägungsgrund 2 zur VO (EU) 2023/1543) – insbesondere mit Blick auf die Flüchtigkeit digitaler Daten bei der globalen Vernetzung von Dienstleistern wie Cloud-Anbietern oder sozialen Netzwerken.

II.

Überblick zur eEvidence-Verordnung

1. Struktur der Rechtsakte

Kernelement des Pakets ist die eEvidence-Verordnung ((EU) 2023/1543, im Folgenden „VO“), die gemeinsam mit einer eEvidence-Richtlinie ((EU) 2023/1544, im Folgenden „RI“) im August 2023 in Kraft trat und ab dem 18.8.2026 anwendbar sein wird. Die Verordnung führt zwei zentrale Instrumente ein: die Europäische Herausgabeanordnung (EPOC, Art. 3 Nr. 1 VO) und die Europäische Sicherungsanordnung (EPOC-PR, Art. 3 Nr. 2 VO). Mit diesen beiden Instrumenten können Ermittlungsbehörden direkt bei Dienstleistern in anderen EU-Mitgliedstaaten die Herausgabe oder Sicherung ausgewählter elektronischer Beweismittel verlangen, ohne den bisherigen Umweg über die lokalen Justizbehörden gehen zu müssen (Hüttemann, NZWiSt 2024, 81, 84). Dies beschleunigt nicht nur die Beweiserhebung, sondern schafft auch eine einheitliche Rechtsgrundlage für den heute in Masse bedeutsamen Zugang zu Daten (ErwG 8 VO), die für die Aufklärung von Straftaten essenziell ist – unabhängig davon, wo diese gespeichert werden.

2. Geltungsbereich

Die Verordnung gilt wie die Richtlinie für alle Anbieter von elektronischen Kommunikationsdiensten ebenso wie für solche von Diensten der Informationsgesellschaft in der EU (ErwG 7 VO; ErwG 14 RI), unabhängig von ihrem Sitz – und erfasst somit auch Unternehmen mit Hauptsitz außerhalb der Union, sofern sie in Europa tätig sind. Damit sind sämtliche digitalen Leistungen, gleich ob Mails, Messenger oder Hosting und Online-Marktplätze, umfassend erfasst. Die Verordnung regelt ausschließlich die Erhebung von Daten, die ein Diensteanbieter zum Zeitpunkt des Erhalts einer europäischen Herausgabe- oder Sicherungsanordnung gespeichert hat. Eine allgemeine Verpflichtung von Diensteanbietern zur Datenspeicherung ist nicht vorgesehen (ErwG 19 VO).

3. Entwicklungsgeschichte

Die eEvidence-Verordnung der Europäischen Union ist das Ergebnis jahrelanger Auseinandersetzung mit den Herausforderungen der digitalen Strafverfolgung in einem grenzüberschreitenden Kontext. Bereits 2018 legte die Europäische Kommission einen ersten Entwurf vor, der auf Umfragen in den Mitgliedstaaten basierte: Demnach waren elektronische Beweismittel in 85 Prozent der Ermittlungen von Bedeutung, wobei in 65 Prozent dieser Fälle die benötigten Daten auf Servern im Ausland, aber innerhalb der EU, gespeichert waren (Krumwiede, ZfIStw 3/2024, 202). Parallel dazu verabschiedeten die USA im November 2018 den CLOUD Act, der US-Behörden den Zugriff auf sogar im Ausland gespeicherte Daten ermöglichte, und der Europarat arbeitete am Zweiten Zusatzprotokoll zur Budapest-Cybercrime-Konvention, das ähnliche Ziele verfolgte. Diese internationalen Entwicklungen unterstrichen den Handlungsbedarf auf europäischer Ebene (Hüttemann, NZWiSt 2024, 81, 83), waren aber auch schon früh Kritik ausgesetzt (Burchard, ZRP 2019, 164, 167). Kritiker warnten insbesondere vor einem Verlust an Betroffenenrechten und einer Schwächung des Datenschutzes, während Befürworter die Notwendigkeit einer effizienteren Beweiserhebung betonten.

Nach vorübergehender Aussetzung der Verhandlungen wurde das Gesetzgebungspaket im Juli 2023 verabschiedet und trat sodann am 18.8.2023 in Kraft. Die Verordnung ist also erkennbar in einen größeren rechtspolitischen Kontext eingebettet (Ambos, ZfIStw 2/2025, 206): Sie steht in Verbindung mit der Agenda 2030 der Vereinten Nationen, hier konkret dem „Sustainable Development Goal“ Nr. 16 zur Stärkung der Bekämpfung von Kriminalität und Terrorismus sowie dem Aufbau effektiver, rechenschaftspflichtiger Institutionen.

4. Verhältnis der Rechtsakte

Das Verhältnis zwischen Richtlinie und Verordnung im Rahmen des eEvidence-Pakets ist ein klassisches Beispiel für die sich ergänzende Nutzung beider EU-Rechtsakte, um das Ziel effizienter grenzüberschreitender Erhebung elektronischer Beweismittel in Strafverfahren zu erreichen.

Die Verordnung ist ein unmittelbar geltender Rechtsakt der EU, der in allen Mitgliedstaaten ohne weitere Umsetzung verbindlich ist (Art. 288 Abs. 2 AEUV). Sie regelt materielle und verfahrensrechtliche Aspekte der grenzüberschreitenden Erhebung elektronischer Beweismittel: So schafft sie insbesondere einheitliche Regeln für die Ausstellung, Übermittlung und Vollstreckung von EPOC und EPOC-PR in allen Mitgliedstaaten. Auch definiert sie hinreichend klar, welche Daten (Teilnehmer-, Verkehrs-, Inhaltsdaten) unter welchen Voraussetzungen (z.B. Mindesthöchststrafe, Art. 5 Abs. 4 VO) angefordert werden können, um somit im europäischen Binnenmarkt Diensteanbietern Rechtssicherheit zu bieten. Allerdings kann die Verordnung eben nicht alle Aspekte regeln, die für die praktische Umsetzung notwendig sind. So kann sie keine nationalen Organisationspflichten für Diensteanbieter schaffen (z.B. die Pflicht, Vertreter oder Niederlassungen zu benennen) und kann keine Sanktionen für Verstöße gegen nationale Pflichten vorsehen, da dies in die Zuständigkeit der Mitgliedstaaten fällt.

An diesem Punkt entfaltet nun die Richtlinie ihre Relevanz: Eine Richtlinie ist ein umsetzungspflichtiger Rechtsakt (Art. 288 Abs. 3 AEUV), der die Mitgliedstaaten verpflichtet, nationale Rechtsvorschriften zu erlassen, um die Ziele der Richtlinie zu erreichen. Sie ergänzt die Verordnung damit insoweit, als sie organisatorische und sanktionsrechtliche Aspekte regelt, die für die praktische Funktionsfähigkeit des eEvidence-Systems entscheidend sind, wie etwa die Benennung von Adressaten (Art. 3 der Richtlinie) oder die Schaffung von Sanktionen bei Nichtbefolgung in Form von Bußgeldern (Art. 5 der Richtlinie).

Die Richtlinie (EU) 2023/1544 soll in Deutschland durch das „Gesetz zur Umsetzung der Richtlinie (EU) 2023/1544 und zur Durchführung der Verordnung (EU) 2023/1543 über die grenzüberschreitende Sicherung und Herausgabe elektronischer Beweismittel in Strafverfahren innerhalb der Europäischen Union“ („EBewMG“, BT-Drucks 21/3192) umgesetzt werden, das die zentralen Regelungen vorsieht – so konkret die Pflicht zur Benennung von Adressaten (§ 3 EBewMG-E), Schaffung von Mitteilungspflichten zu Kontaktdaten (§ 4 EBewMG-E) und Regelung von Sanktionen in Form von empfindlichen Bußgeldern (§ 18 EBewMG-E).

5. Verfahrensablauf

Um die verfahrensrechtlichen Abläufe sowie die Unterschiede zwischen den betroffenen Datenkategorien zu verstehen, muss zunächst das „elektronische Beweismittel“ in den Blick genommen werden. Dieses ist nunmehr – erstmals auf europäischer Ebene – definiert in Art. 3 Nr. 8 VO als „Teilnehmerdaten, Verkehrsdaten oder Inhaltsdaten, die zum Zeitpunkt des Erhalts einer Bescheinigung über eine Europäische Herausgabeanordnung (EPOC) oder einer Bescheinigung über eine Europäische Sicherungsanordnung (EPOC-PR) in elektronischer Form von einem Diensteanbieter oder in seinem Auftrag gespeichert werden“.

6. Herausgabeanordnung

Die Differenzierung in der Verordnung zwischen Teilnehmer- und Identifizierungsdaten einerseits sowie Verkehrs- und Inhaltsdaten andererseits sind für die Voraussetzungen des europaweiten Zugriffs in Form der europäischen Herausgabeanordnung von Bedeutung: Teilnehmer- und Identifizierungsdaten – wie Namen, IP-Adressen oder Kontodaten – unterliegen vergleichsweise niedrigen Anforderungen. Ihre Herausgabe kann bereits bei einem begründeten Verdacht einer Straftat gegenüber dem Diensteanbieter (Art. 5 Abs. 6 VO) angeordnet werden, ohne dass zwingend eine richterliche Vorabprüfung erforderlich wäre (Art. 5 Abs. 3 i.V.m. Art. 4 Abs. 1 lit. a/b VO). Demgegenüber sind Verkehrs- und Inhaltsdaten, also Metadaten zu Kommunikationsvorgängen oder gar der Inhalt von Nachrichten, nur unter deutlich strengeren Voraussetzungen zugänglich. Hier verlangt die Verordnung eine richterliche Anordnung sowie eine Mindeshöchststrafe von drei Jahren, sofern es sich nicht ohnehin um Katalogtaten wie Terrorismus oder schwere Kriminalität handelt (Art. 5 Abs. 4 lit. a/b VO). Eine Ausnahme bilden Notfälle, in denen eine rechtzeitige richterliche Anordnung nicht möglich wäre und ein Zugriff nach nationalem Recht vorgesehen ist (Krumwiede, a.a.O., 208/209).

7. Ablehnung europäischer Herausgabeanordnungen

Wird eine Europäische Herausgabeanordnung zur Erlangung von Verkehrsdaten – mit Ausnahme von ausschließlich zum Zweck der Identifizierung des Nutzers angeforderten Daten – erlassen, so unterrichtet die Anordnungsbehörde die Vollstreckungsbehörde in der Form, dass das EPOC zeitgleich übermittelt wird (Art. 8 Abs. 1 VO). In diesem Fall prüft die Vollstreckungsbehörde umgehend, spätestens jedoch innerhalb von zehn Tagen nach Erhalt der Unterrichtung oder in Notfällen spätestens innerhalb von 96 Stunden, die in der Anordnung enthaltenen Informationen (Art. 12 Abs. 1 VO). Es können Ablehnungsgründe erhoben werden, insbesondere ein Verstoß gegen den Grundsatz „ne bis in idem“ (Art. 12 Abs. 1 lit. c VO) oder der Fall, dass die Handlung, aufgrund derer die Anordnung erlassen wurde, nach dem Recht des Vollstreckungsstaats keine Straftat darstellt (Art. 12 Abs. 1 lit. d VO, wobei Ausnahmen für besonders schwere Straftaten vorgesehen sind).

8. Berufsgeheimnisschutz

Der Schutz von Berufsgeheimnisträgern bei einem derart grenzüberschreitenden Zugriff erfordert besondere Aufmerksamkeit. In diesem Zusammenhang gilt, dass eine Europäische Herausgabeanordnung nur für die Erlangung von Verkehrsdaten in Betracht kommt, wenn es sich um Daten handelt, die nach dem Recht des Anordnungsstaats vom Berufsgeheimnis geschützt sind. Eine Ausnahme ist vorgesehen bei solchen Daten, die ausschließlich zur Identifizierung des Nutzers im Sinne dieser Verordnung angefordert werden oder zur Erlangung von Inhaltsdaten, sofern der Berufsgeheimnisträger im Anordnungsstaat wohnhaft ist, die Anordnung an ihn gerichtet werden würde, was der Ermittlung schaden könnte, oder das Berufsgeheimnis im Einklang mit dem geltenden Recht aufgehoben wurde (Art. 5 Abs. 9 i.V.m. ErwG 45 VO).

9. Sicherungsanordnung

Die zukünftige Europäische Sicherungsanordnung (EPOC-PR) dient in erster Linie der Verhinderung von Datenverlust und ermöglicht es den Ermittlungsbehörden, Diensteanbieter dazu zu verpflichten, relevante Daten für bis zu 60 Tage (Art. 11 Abs. 1 VO) vorläufig zu sichern, was um 30 Tage verlängert werden kann. Praktisch problematisch ist dabei, dass Betroffene oft erst nachträglich von dieser Maßnahme erfahren, wodurch sich die Möglichkeiten einer vorläufigen Abwehr erheblich einschränken. Die Verteidigung muss also im Nachhinein prüfen, ob die Anordnung verhältnismäßig war und ob weniger eingriffsintensive Mittel, wie die Beschränkung auf Teilnehmerdaten, ausgereicht hätten. Eine erfolgreiche Anfechtung setzt voraus, dass die Notwendigkeit der Sicherung konkret dargelegt wurde und keine willkürliche Datensammlung stattgefunden hat. Mit Blick auf die jedenfalls im deutschen Strafprozessrecht anzuwendende Abwägungslehre – deren Kernrechtsgedanke einer Würdigung im Gesamtbild bei Ablehnung pauschaler Verwertungsverbote sich durchaus europaweit antreffen lässt, siehe nur EGMR 22978/05 – sollte man sich hier wohl nicht der Illusion ernsthafter Beweisverwertungsverbote hingeben.

Im Falle einer Herausgabeanordnung (EPOC) selbst kommt es auf die korrekte Einhaltung der verfahrensrechtlichen Vorgaben an. Während Teilnehmerdaten von der Staatsanwaltschaft direkt angefordert werden können, bedürfen Verkehrs- und Inhaltsdaten einer richterlichen Entscheidung. Die Anordnung muss die betreffenden Daten präzise benennen und eine schlüssige Begründung für ihre Relevanz liefern. Fehlt es daran, etwa weil die Anforderung zu pauschal formuliert ist oder der Tatverdacht nicht ausreichend substantiiert wurde, dürfte dies realistisch ein Verwertungsverbot im späteren Verfahren nach sich ziehen – ausgenommen, wie so oft, bei besonders schwerwiegenden Taten im Einzelfall. Klassisch verbleibt die Situation bei Anbietern mit Sitz außerhalb der EU, etwa in den USA, da die EPOC-VO hier keine Anwendung findet und stattdessen auf langwierige Rechtshilfeverfahren zurückgegriffen werden muss.

III.

Verteidigungsansätze

Für die Verteidigung dürfte sich daraus prognostisch ein mehrstufiges Vorgehen ergeben: Zunächst gilt es, die Ermittlungsakten auf das Vorliegen einer EPOC oder EPOC-PR zu überprüfen und die Einhaltung der formellen Anforderungen zu prüfen. Liegen Verstöße vor – sei es wegen fehlender richterlicher Autorisierung, unzureichender Konkretisierung der Daten oder Verletzung des Berufsgeheimnisses –, können diese im betroffenen Mitgliedstaat angefochten werden. Gleichzeitig bietet sich im Hauptverfahren die Möglichkeit, die Verwertbarkeit der gewonnenen Beweise in Frage zu stellen, insbesondere wenn die Anordnung unverhältnismäßig war oder essenzielle Verfahrensvorschriften missachtet, wenn nicht gar vorsätzlich umgangen wurden. Soweit Diensteanbieter ihrerseits dazu verpflichtet sein werden, eine Sicherungsanordnung inhaltlich zu prüfen, dürfte dies datenschutzrechtlich, nicht aber strafprozessual von Bedeutung sein (Rexin, CR 2024, 64, 71). Beachtlich ist allerdings, dass gemäß Art. 6 Abs. 3 Hs. 1 VO eine Sicherungsanordnung nur erlassen werden darf, wenn eine solche Maßnahme auch in vergleichbaren nationalen Fällen zulässig wäre. Anders ausgedrückt: Ohne eine mitgliedstaatliche Norm für Sicherungsanordnungen ist der Erlass einer solchen Anordnung ausgeschlossen. Eine solche Norm gibt es im deutschen Strafprozessrecht derzeit jedoch weder noch ist sie im EBewMG vorgesehen, weswegen Sicherungsanordnungen auf deutscher Seite derzeit EU-weit nicht denkbar erscheinen (Rexin, CR 2025, 554, 559).

Ein ganz besonderer Aspekt ist die technische und strategische Einordnung der Daten: Es steht absehbar zu erwarten, dass Mandanten von Anordnungen betroffen sein werden, die sich auf Cloud-Dienste oder internationale Serverstrukturen beziehen. Hier ist es ratsam, IT-Forensiker hinzuzuziehen, um die tatsächliche Verfügbarkeit und Relevanz der Daten zu bewerten. Bei Anbietern mit Sitz in Drittstaaten wie den USA scheidet die eEvidence-Verordnung als Rechtsgrundlage aus, was die Verteidigung vor die Frage stellt, ob alternative Rechtshilfewege beschritten wurden und welche rechtlichen Standards dabei zur Anwendung kamen. Allerdings wird man dabei im Blick haben müssen, dass neuere Rechtsprechung darauf zielt, den Anwendungsbereich des § 110 Abs. 3 StPO über Gebühr auszudehnen, u.a. mit Hinweis darauf, dass bei Speicherung „in der Cloud“ gar nicht erkennbar ist, in welchem Staat die physische Speicherung erfolgt (exemplarisch: LG Koblenz, Beschl. v. 24.8.2021 – 4 Qs 59/21).

Es ist nicht von der Hand zu weisen, dass eine erhebliche Beschleunigung beim EU-weiten Zugriff auf Beweismittel zu erwarten ist und die Kriminalitätsbekämpfung sich dadurch weiter entwickeln wird. Dem steht allerdings absehbar nur eine geringe Prüfung durch die Verteidigung gegenüber, was die Frage aufwirft, ob angemessener Rechtsschutz überhaupt derzeit denkbar ist (Weiß, ZRP 2025, 218, 220) – der Verteidiger im ersuchenden Staat wird selten im Staat der Beauskunftung postulationsfähig sein, sodass die Frage effektiver Kontrolle – wie immer häufiger – auch von der Liquidität der Mandantschaft sowie der Vernetzung der Verteidigung abhängig zu machen sein wird.

Dabei wird zwar sicherlich entscheidend sein, die formellen und materiellen Anforderungen der Verordnung konsequent zu hinterfragen – von der Verhältnismäßigkeit der Maßnahme bis hin zur korrekten Benennung der Daten. Doch muss schon jetzt, aus der Erfahrung mit EncroChat- und ANOM-Verfahren heraus sowie mit Blick auf die Abwägung von betroffenem Rechtsgut zu eventuellen Verfahrensfehlern, konstatiert werden, dass letzten Endes wohl wenig Verteidigungspotenzial in schlichten Formfehlern liegen wird.

Rechtsanwalt Jens Ferner, FA IT-Recht und Strafrecht, Alsdorf

Diesen Beitrag teilen

Facebook
Twitter
WhatsApp
LinkedIn
E-Mail

Kategorien

Unsere Autorinnen und Autoren

Newsletter & Infobriefe

Die Anwaltspraxis Wissen Newsletter & kostenlosen PDF Infobriefe halten Sie in allen wichtigen Kanzlei-Themen auf dem Laufenden!

Kostenlos anmelden

Fast im Ernst

Meist gelesen

Videoblog

Bitte akzeptieren Sie Cookies und externe Inhalte, um diese Videogalerie sehen zu können.

Cookies akzeptieren

Unser KI-Spezial

Erfahren Sie hier mehr über Künstliche Intelligenz – u.a. moderne Chatbots und KI-basierte…

Zum KI-Spezial