Thomas Kramer
Thomas Kramer

E-Evidence: Wie die EU ab sofort grenzüberschreitend auf Cloud-Daten zugreift

Thomas Kramer enthalten in IT
 900 Wörter (ungefähr) 5 Minuten 

Ende der Rechtshilfe-Mails: Die EU greift direkt auf Cloud-Daten zu

Am 12. März 2026 wurde im Bundesgesetzblatt ein Gesetz verkündet, das weitreichende Folgen für jeden Cloud-Anbieter hat, der in der EU tätig ist. Das Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz (kurz EBewMG) setzt die europäische E-Evidence-Verordnung in deutsches Recht um. Der erste Teil ist bereits in Kraft, der Rest folgt am 18. August 2026.

Das Prinzip: Wenn ein Ermittler in Frankreich Daten braucht, die auf einem Server in Irland liegen, muss er nicht mehr monatelang auf ein Rechtshilfeersuchen warten. Er fragt direkt beim Anbieter an. Der muss innerhalb von Stunden liefern.

Was das Gesetz ermöglicht

Zwei neue Werkzeuge stehen europäischen Strafverfolgungsbehörden zur Verfügung:

European Production Order: Eine Behörde in einem EU-Staat kann direkt einen Diensteanbieter in einem anderen EU-Staat auffordern, elektronische Beweismittel herauszugeben. Das reicht von Abonnentendaten (Name, Adresse, Zahlungsinformationen) über IP-Adressen und Verbindungsdaten bis hin zu Inhaltsdaten: E-Mails, gespeicherte Dateien, Chat-Verläufe.

European Preservation Order: Die Behörde kann verlangen, dass bestimmte Daten für 60 Tage konserviert werden, damit sie nicht gelöscht werden, bevor die Herausgabe angeordnet ist. Eine Art digitaler Beschlagnahmebefehl für Bits und Bytes.

Zusammengefasst: Der physische Standort eines Servers verliert innerhalb Europas an Bedeutung. Relevant ist, wo der Dienst genutzt wird, nicht wo die Festplatte steht.

Die technische Umsetzung

Die Notification Platform

Der Datenaustausch läuft über eine von der EU und den Mitgliedstaaten gemeinsam betriebene IT-Infrastruktur. Diensteanbieter müssen sich auf einer sogenannten Notification Platform registrieren, um für Ermittler überhaupt erreichbar zu sein. Diese Plattform fungiert als zentrale Schaltstelle zwischen Strafverfolgungsbehörden und den Empfangsbevollmächtigten der Anbieter.

Das Bundesamt für Justiz (BfJ) ist in Deutschland die zuständige Überwachungsinstanz. Es kontrolliert, ob die Anbieter sich registriert haben und ihre Pflichten erfüllen.

Empfangsbevollmächtigte

Jeder in der EU tätige Diensteanbieter muss einen sogenannten Addressee benennen, einen Empfangsbevollmächtigten. Das kann eine EU-Niederlassung sein oder ein benannter Rechtsvertreter innerhalb der EU. Dieser Addressee ist der feste Ansprechpartner für alle Behörden. Die europäischen Anordnungen gehen direkt an diese Person oder Stelle, nicht an die Zentrale irgendwo in Kalifornien.

Fristen und Notfallverfahren

Die Fristen sind knapp:

  • Sicherungsanordnung (Preservation): Unverzüglich, das heißt sofort.
  • Standard-Herausgabe (Production): 10 Tage.
  • Notfälle: 8 Stunden.

Acht Stunden. Das ist schneller als die meisten Unternehmen intern eine Rechtsanfrage bearbeiten können. Für Notfälle (Kindeswohlgefährdung, unmittelbar bevorstehende Straftaten) wird ein verkürztes Verfahren aktiviert.

Was das für Anbieter technisch bedeutet

Die Anforderungen an die IT-Infrastruktur sind erheblich:

  • Echtzeit-Fähigkeit: Systeme müssen so aufgebaut sein, dass Anfragen binnen Stunden identifiziert, validiert und beantwortet werden können.
  • Sichere Kommunikation: Der Datenaustausch über die Notification Platform muss verschlüsselt und manipulationssicher erfolgen.
  • Datenverfügbarkeit: Anbieter müssen sicherstellen, dass angeforderte Daten überhaupt noch existieren. Bei ephemeralen Diensten (verschlüsselte Messenger ohne Server-Speicherung) wirft das grundsätzliche Fragen auf.
  • Validierung von Anordnungen: Empfangsbevollmächtigte müssen prüfen, ob eine Anordnung formell korrekt ist, ob die anfordernde Behörde zuständig ist und ob europäische Datenschutzstandards eingehalten werden.

Wer ist betroffen?

Der Geltungsbereich ist weit gefasst:

  • Elektronische Kommunikationsdienste (E-Mail, Messenger, VoIP)
  • Domain- und IP-Registrierungsdienste
  • Soziale Netzwerke, Online-Marktplätze
  • Cloud-Speicher und -Dienste

Schätzungen gehen davon aus, dass allein in Deutschland rund 9.000 Unternehmen betroffen sind. Die Verordnung gilt auch für Anbieter außerhalb der EU, sofern sie Dienste für EU-Nutzer anbieten. Ein US-Cloud-Provider mit europäischen Kunden ist ebenso adressiert wie eine kleine deutsche Hosting-Firma.

Sanktionen: Bis zu 2 Prozent des Umsatzes

Wer die Zusammenarbeit verweigert oder ignoriert, riskiert empfindliche Strafen:

  • Bis zu 500.000 Euro Bußgeld bei schwerwiegenden Verstößen.
  • Für große Anbieter mit mehr als 25 Millionen Euro Jahresumsatz: bis zu 2 Prozent des weltweiten Jahresumsatzes.

Die Kritik: Datenschutz vs. Strafverfolgung

Das Gesetz ist nicht unumstritten. In der parlamentarischen Debatte gab es heftigen Gegenwind, besonders von der Opposition und Bürgerrechtlern.

Das Kernargument: Der beschleunigte Zugriff ohne gerichtliche Kontrolle im Staat des Anbieters untergräbt rechtsstaatliche Standards. Was passiert, wenn eine Regierung das System nutzt, um gegen Journalisten oder Oppositionelle vorzugehen? Die gegenseitige Kontrolle, die das traditionelle Rechtshilfeverfahren bot, entfällt.

Das BfJ versucht, dem mit Schutzmechanismen für sensible Datenkategorien zu begegnen. Ob das reicht, wird sich zeigen.

Was Diensteanbieter jetzt tun sollten

Für Anbieter, die ab August 2026 compliant sein müssen, bleibt nicht mehr viel Zeit:

  1. Addressee benennen: Eine EU-Niederlassung oder einen Rechtsvertreter innerhalb der EU festlegen und bei der Notification Platform registrieren.
  2. Interne Prozesse aufbauen: Wer bearbeitet eine Anordnung? Wer prüft die Rechtmäßigkeit? Wer liefert die Daten? Das muss klar definiert sein, bevor die erste Anordnung kommt.
  3. IT-Systeme anpassen: Daten müssen identifizierbar, extrahierbar und lieferbar sein. Innerhalb von Stunden, nicht Wochen.
  4. Rechtsprüfung implementieren: Jede Anordnung muss darauf geprüft werden, ob sie formell korrekt ist und europäische Standards einhält.
  5. Benutzerrechte wahren: Die Verordnung sieht Benachrichtigungsregeln und Rechtsbehelfe für Betroffene vor. Auch diese Prozesse brauchen technische Unterstützung.

Fazit

Das E-Evidence-Paket markiert einen Paradigmenwechsel in der europäischen Strafverfolgung. Der physische Standort eines Servers verliert seine Bedeutung. Innerhalb der EU ist es egal, ob die Daten in Dublin, Frankfurt oder Tallinn liegen. Die Behörden greifen direkt zu.

Die entscheidende Frage für die technische Umsetzung: Sind die Systeme der Anbieter und die personellen Ressourcen der Behörden dem neuen Tempo gewachsen? Acht Stunden im Notfall sind ambitioniert. Das funktioniert nur, wenn die Notification Platform stabil läuft, die Empfangsbevollmächtigten erreichbar sind und die Datenausgabe automatisiert genug abläuft, um menschliche Verzögerungen zu vermeiden.

Ab dem 18. August 2026 wird es ernst. Bis dahin bleibt den Anbietern noch knapp fünf Monate, um sich vorzubereiten.

Aktualisiert am 01.04.2026 
CC BY-NC-SA 4.0
EUE-EvidenceCloudDatenschutzStrafverfolgungCompliance
Zurück | Startseite

Inhalt