E-Evidence

E-Evidence-Verordnung: Was Unternehmen in der EU jetzt wissen müssen

/in

Warum E-Evidence jetzt wichtig ist

Digitale Beweismittel spielen in nahezu jedem modernen Strafverfahren eine zentrale Rolle, von E-Mails, Cloud-Daten und Chat-Verläufen bis hin zu IP-Adressen. Liegen diese Daten jedoch in einem anderen EU-Mitgliedstaat, war der Zugriff für Ermittlungsbehörden bisher langsam, komplex und rechtlich uneinheitlich.

Mit der E-Evidence-Verordnung (EU) 2023/1543 schafft die EU erstmals einen einheitlichen digitalen Rechtsrahmen für den grenzüberschreitenden Zugriff auf elektronische Beweismittel. Behörden können künftig direkt bei Dienstanbietern in anderen EU-Staaten Daten anfordern, ohne langwierige Rechtshilfeverfahren.

Ab dem 18. August 2026 wird die Verordnung verbindlich. Das ist ein Meilenstein für die Strafverfolgung und ein Wendepunkt für alle Unternehmen, die digitale Dienste in der EU anbieten.

Was ist die E-Evidence-Verordnung?

Die E-Evidence-Verordnung (EU) 2023/1543 regelt, wie Strafverfolgungsbehörden in der EU künftig direkt auf elektronische Beweismittel bei Dienstanbietern in anderen Mitgliedstaaten zugreifen können. Sie schafft ein einheitliches digitales Verfahren für den grenzüberschreitenden Datenaustausch.

Die Verordnung ist am 18. August 2023 in Kraft getreten, wird jedoch erst ab dem 18. August 2026 verbindlich angewendet. Bis dahin bereiten die Mitgliedstaaten nationale Kontaktstellen, sichere Kommunikationskanäle und rechtliche Anpassungen vor. Unternehmen sollten diese Zeit nutzen, um Prozesse und Zuständigkeiten anzupassen.

Ziel der Verordnung ist, Ermittlungsverfahren zu beschleunigen, wenn Beweisdaten, wie etwa E-Mails, Cloud-Dateien, IP-Adressen oder Abonnentendaten, in einem anderen Mitgliedstaat liegen. Statt langwieriger Rechtshilfeverfahren können Behörden künftig zwei neue Instrumente nutzen:

  • Europäische Herausgabeanordnung (EPOC): Sie ermöglicht den direkten Zugriff auf Daten wie Abonnentendaten, Verkehrsdaten oder Inhaltsdaten.
  • Europäische Sicherungsanordnung (EPOC-PR): Sie verpflichtet Anbieter, relevante Daten umgehend zu sichern, damit sie nicht gelöscht oder verändert werden.

Ein Beispiel: Eine deutsche Staatsanwaltschaft kann künftig direkt bei einem Cloud-Anbieter in Irland eine EPOC anfragen, ohne den Umweg über irische Justizstellen.

Rechtlicher Hintergrund

Bisher mussten Ermittlungsbehörden bei grenzüberschreitenden Verfahren auf internationale Rechtshilfeabkommen zurückgreifen. Diese Verfahren waren oft langwierig und aufwendig, für digitale Beweise, die in Sekunden gelöscht oder verändert werden können, schlicht zu langsam.

Mit der E-Evidence-Verordnung entsteht erstmals ein direktes, EU-weites einheitliches Verfahren: Ermittlungsbehörden eines Mitgliedstaats können künftig unmittelbar bei einem Dienstanbieter in einem anderen EU-Land eine Herausgabe- oder Sicherungsanordnung beantragen. Damit entfallen nationale Umwege, Zuständigkeiten und Fristen werden klar geregelt.

Für Deutschland bedeutet das: Die Strafprozessordnung und das Rechtshilferecht müssen angepasst werden. Das Bundesministerium der Justiz (BMJ) arbeitet an einem Durchführungsgesetz zur praktischen Umsetzung ab 2026, unter Wahrung von Datenschutz, Grundrechten und richterlicher Kontrolle.

Kerninhalte der E-Evidence-Verordnung

Die Evidence-Verordnung (EU) 2023/1543 führt zwei zentrale Instrumente ein, mit denen Strafverfolgungsbehörden direkt auf elektronische Beweismittel bei Dienstanbietern in anderen EU-Staaten zugreifen können: EPOC & EPOC PR. Ziel ist ein schneller, rechtssicherer und einheitlicher Zugriff auf Daten ohne langwierige Rechtshilfeverfahren

EPOC – Europäische Herausgabeanordnung:

Die EPOC erlaubt Ermittlungsbehörden, elektronische Beweismittel direkt bei einem Dienstanbieter in einem anderen Mitgliedstaat anzufordern.

Fristen: innerhalb von zehn Tagen, in Eilfällen innerhalb von acht Stunden.

Der Dienstanbieter kann die Anordnung prüfen und bei Konflikten mit Datenschutz oder Grundrechten eine gerichtliche Überprüfung beantragen.

EPOC-PR – Europäische Sicherungsanordnung:

Die EPOC PR dient der vorläufigen Beweissicherung. Anbieter müssen relevante Daten sofort speichern, um Löschungen oder Veränderungen zu verhindern.

Geltungsdauer: bis zu 60 Tage, mit Verlängerungsoption.

Sie gilt auch für Anbieter außerhalb der EU, sofern sie ihre Dienste in der EU anbieten.

Pflichten für Unternehmen

Die E-Evidence bringt für betroffene Unternehmen erhebliche organisatorische und technische Anforderungen mit sich. Entscheidend ist dabei nicht der Sitz des Unternehmens, sondern ob es seine digitalen Dienste innerhalb der EU anbietet.

Zentrale Pflichten sind:

  • Benennung eines rechtlichen Vertreters oder einer Niederlassung in der EU: Jedes Unternehmen, das digitale Dienste in der EU anbietet, muss eine verantwortliche Stelle benennen. Diese fungiert als Ansprechpartner für Ermittlungsanordnungen.
  • Einrichtung interner Prozesse zur Annahme und Prüfung von Anordnungen: Unternehmen benötigen klare Abläufe für Eingang, Bewertung und Entscheidung über EPOC und EPOC PR.
  • Umsetzung technischer und organisatorischer Datenschutzmaßnahmen: Dazu zählen verschlüsselte Kommunikationswege, Zugriffsbeschränkungen, Protokollierung und revisionssichere Dokumentation.
  • Vorbereitung auf kurze Reaktionsfristen: In regulären Fällen gelten Fristen von wenigen Tagen, in dringenden sogar von acht Stunden. Das erfordert klare Verantwortlichkeiten und vorbereitete Prozesse.
  • Dokumentations- und Nachweispflichten: Unternehmen müssen alle Schritte, Entscheidungen und Datenübermittlungen nachvollziehbar festhalten.
  • Sanktionen bei Verstößen: Bei fehlerhafter Bearbeitung oder verspäteter Reaktion können Bußgelder in Höhe von bis zu 2 % des weltweiten Jahresumsatzes verhängt werden.

Diese Anforderungen gelten auch für Anbieter außerhalb der EU, die ihre Dienste hier erbringen. Besonders Cloud- und SaaS-Unternehmen mit internationalen Strukturen sollten Zuständigkeiten und Abläufe frühzeitig klären.

Was bedeutet das für Unternehmen in Deutschland und der DACH-Region und für wen gilt die Verordnung?

Die E-Evidence betrifft nicht nur große Cloud– und Kommunikationsanbieter, sondern auch mittelständische Unternehmen, die digitale Dienste oder Plattformen in der EU anbieten. Entscheidend ist, ob ein Dienst Nutzer:innen innerhalb der EU bereitgestellt wird, nicht der Unternehmenssitz.

Besonders betroffen sind unter anderem folgende Bereiche: Cloud- und Hosting-Anbieter, Kommunikationsdienste, SaaS- und PaaS-Unternehmen, Datenverarbeiter und Data-Analytics-Anbieter, FinTech-Unternehmen, IT-Sicherheits- und Monitoring-Anbieter.

Für die DACH-Region ergeben sich:

  • EU-Anbieter (z. B. DE, AT): Alle Anbieter elektronischer Kommunikations-, Hosting- oder Onlinedienste können Adressaten einer Herausgabe- oder Sicherungsanordnung werden.
  • Nicht-EU-Anbieter (z. B. CH, UK, USA): Müssen einen rechtlichen Vertreter oder eine Niederlassung in der EU benennen, der als offizielle Anlaufstelle dient.
  • Spezialfall Schweiz: Schweizer Anbieter fallen nicht automatisch unter das EU-Recht. Sie unterliegen der Verordnung aber, sobald sie Dienste im EU-Raum bereitstellen, etwa durch europäische Kunden oder Rechenzentren.

Damit entsteht ein einheitlicher europäischer Rechtsrahmen, der Unternehmen in der DACH-Region verpflichtet, klare technische und organisatorische Prozesse für die Bearbeitung von Ermittlungsanordnungen zu etablieren.

Datenschutz und E-Evidence

Die E-Evidence berührt zentrale Bereiche des europäischen Datenschutzrechts, da Ermittlungsbehörden künftig direkt auf Daten bei Unternehmen zugreifen können. Unternehmen müssen dennoch prüfen, ob jede Datenübermittlung mit der DSGVO vereinbar ist. Eine EPOC oder EPOC PR ersetzt diese Prüfung nicht, besonders bei personenbezogenen, sensiblen oder kommunikationsbezogenen Daten.

Für jede Anordnung müssen Unternehmen dokumentieren, dass Grundrechte, Verhältnismäßigkeit und relevante DSGVO Artikel gewahrt bleiben. Bei datenschutzrechtlichen Konflikten können sie eine gerichtliche Überprüfung beantragen, um unzulässige Eingriffe in Datenschutz und Geheimnisschutz zu vermeiden.

Für Datenschutzbeauftragte bedeutet dies klare Verfahren, sichere Kommunikationswege und geschulte Mitarbeitende. Unternehmen, die diese Schnittstellen zwischen Datenschutz, IT Sicherheit und Strafverfolgung frühzeitig strukturieren, reduzieren Risiken und stärken ihre Compliance.

Chancen und Risiken der E-Evidence-Verordnung

E-Evidence verändert den Umgang mit digitalen Beweismitteln und damit die Zusammenarbeit zwischen Justizbehörden und digitalen Dienstanbietern grundlegend. Sie schafft neue Möglichkeiten, bringt aber auch zusätzliche Anforderungen und Risiken mit sich.

Chancen

  • Mehr Rechtssicherheit: Einheitliche Verfahren und Fristen schaffen Klarheit für Behörden und Unternehmen.
  • Effizientere Abläufe: Durch den direkten Kontakt zwischen Ermittlungsbehörden und Anbietern entfallen aufwendige Rechtshilfewege.
  • Gestärkte Compliance-Kultur: Frühzeitige Prozessetablierung signalisiert regulatorische Reife und stärkt Vertrauen bei Behörden, Kund:innen und Partnern.
  • Bessere Koordination internationaler Organisationen: Einheitliche EU-Standards erleichtern konzernweite Umsetzung.

Risiken und Herausforderungen

  • Zeitdruck: Bereitstellung von Daten innerhalb von acht Stunden erfordert klare Zuständigkeiten.
  • Datenschutzkonflikte: Sensible Daten können mit DSGVO oder Geheimnisschutz kollidieren.
  • Haftungsrisiken: Verspätete oder fehlerhafte Bearbeitung kann Bußgelder nach sich ziehen.
  • Technische Umsetzung: Sichere Kommunikationskanäle und revisionssichere Dokumentation sind oft noch nicht etabliert.

Handlungsempfehlungen für Unternehmen (Praxis-Checkliste)

Unternehmen sollten die Übergangszeit bis August 2026 aktiv nutzen, um sich gezielt auf Anfragen nach der E‑Evidence‑Verordnung vorzubereiten. Ziel ist, Zuständigkeiten, Abläufe und technische Grundlagen so zu gestalten, dass behördliche Anordnungen künftig schnell, sicher und rechtskonform bearbeitet werden können.

Sechs Schritte zur Vorbereitung

  1. Betroffenheit analysieren: Identifizieren Sie, welche Dienste, Systeme und Datenbestände unter die Verordnung fallen. Dazu gehören Cloud-Dienste, Plattformen, Kommunikationslösungen, SaaS Systeme und alle Bereiche, die Nutzerdaten verarbeiten.
  2. Verantwortlichkeiten festlegen: Bestimmen Sie eine zentrale Stelle oder ein Team, das EPOC- und EPOC-PR-Anordnungen entgegennimmt, prüft und die Entscheidungen dokumentiert. In vielen Unternehmen bietet sich eine gemeinsame Zuständigkeit von Legal, Datenschutz und IT an.
  3. Prozesse definieren und dokumentieren: Erstellen Sie klare Arbeitsabläufe für den Eingang, die Prüfung, die Freigabe und die Umsetzung von Anordnungen. Dazu gehören Eskalationswege, Checklisten, Prüfschritte und interne Freigaben.
  4. Technische Sicherheit gewährleisten: Richten Sie sichere Kommunikationskanäle, Zugriffsbeschränkungen, Verschlüsselung und revisionssichere Protokollierung ein. Die technische Infrastruktur muss jederzeit verfügbar und belastbar sein.
  5. Mitarbeitende schulen: Teams in Legal, Datenschutz, IT und Support sollten die Fristen, Pflichten und Grenzen der Verordnung kennen. Die schnelle Reaktion hängt maßgeblich von geschulten Schlüsselpersonen ab.
  6. Dokumentation aktualisieren: Halten Sie alle Entscheidungen, Prüfschritte und Datenübermittlungen nachvollziehbar fest. Die Dokumentation dient als Nachweis gegenüber Behörden und reduziert rechtliche Risiken.

Wer diese Schritte rechtzeitig umsetzt, stärkt Effizienz, Rechtssicherheit und Vertrauen gegenüber Ermittlungsbehörden, Kund:innen und Partnern.

Fazit

Die E-Evidence-Verordnung markiert einen Wendepunkt in der europäischen Strafverfolgung: Erstmals wird der Zugriff auf elektronische Beweismittel europaweit einheitlich, digital und direkt geregelt. Das ist ein Meilenstein für Ermittlungsbehörden und zugleich eine Herausforderung für alle Unternehmen, die digitale Dienste in der EU anbieten.

Bis zum 18. August 2026 bleibt Zeit, Prozesse und technische Strukturen an die neuen Anforderungen der E-Evidence anzupassen. Wer die Übergangsphase nutzt, kann Risiken minimieren und ein transparentes Verfahren zur Bearbeitung von Herausgabe- und Sicherungsanordnungen etablieren.

Unternehmen, die frühzeitig handeln, gewinnen Rechtssicherheit und Vertrauen bei Kund:innen, Partnern und Aufsichtsbehörden.

Wie gut ist Ihr Unternehmen auf die E-Evidence-Verordnung vorbereitet?
Die neuen Anforderungen berühren technische, rechtliche und organisatorische Prozesse zugleich und betreffen nahezu jeden Anbieter digitaler Dienste in der EU.

Wir von Securance-iAP unterstützen Sie dabei, Ihre internen Abläufe, Zuständigkeiten und Compliance-Strukturen frühzeitig auf die E-Evidence-Verordnung auszurichten. Gemeinsam schaffen wir klare Verantwortlichkeiten, effiziente Abläufe und technische Sicherheitsstandards, die Ihr Unternehmen sicher durch die neuen EU Vorgaben führen.

FAQ – E-Evidence-Verordnung

Die E-Evidence-Verordnung (EU) 2023/1543 ist ein Rechtsakt der Europäischen Union, der den direkten Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel bei Dienstanbietern in anderen EU-Mitgliedstaaten regelt. Ziel ist es, Ermittlungsverfahren zu beschleunigen, zu vereinheitlichen und digital zu gestalten.

Die Verordnung ist am 18. August 2023 in Kraft getreten, wird aber erst ab dem 18. August 2026 verbindlich anwendbar. Bis dahin schaffen die EU-Mitgliedstaaten nationale Umsetzungsstrukturen, während Unternehmen ihre internen Prozesse an die neuen Pflichten anpassen sollten.

Betroffen sind alle digitalen Dienstanbieter, die ihre Leistungen Nutzer:innen in der Europäischen Union anbieten, unabhängig vom Unternehmenssitz. Dazu zählen insbesondere Cloud- und Hosting-Anbieter, SaaS-Unternehmen, Kommunikationsdienste, Plattformen und E-Mail-Dienste. Auch Anbieter aus Drittstaaten (z. B. USA, UK oder Schweiz) müssen einen rechtlichen Vertreter in der EU benennen.

Unternehmen müssen in der Lage sein, behördliche Anordnungen zur Herausgabe (EPOC) oder Sicherung (EPOC-PR) elektronischer Beweismittel schnell, sicher und datenschutzkonform zu bearbeiten. Dazu gehören:

  • klare interne Zuständigkeiten,
  • rechtliche Prüfprozesse,
  • sichere technische Kommunikationskanäle,
  • Schulung von Schlüsselpersonen und
  • revisionssichere Dokumentation.

Die E-Evidence-Verordnung steht an der Schnittstelle von Strafverfolgung, Datenschutz und IT-Sicherheit. Sie verpflichtet Unternehmen, Verfahren für den Umgang mit Ermittlungsanordnungen transparent und rechtssicher zu gestalten, ein wichtiger Bestandteil moderner Compliance- und Governance-Strukturen.

Das könnte Dich auch interessieren
Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den MittelstandSecurity Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand
vernetztes Europa - DORA -Digital Operational Resilience ActiStock/NicoElNinoZweck der DORA Verordnung: Digitale Resilienz in Finanzunternehmen nachhaltig stärken
Die Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensystemeistockphoto.com/CamerisDie Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensysteme
Securance iAP auf der Data Center World 2025 – Zukunftsfähiger RechenzentrumsbetriebZukunftsfähiger Rechenzentrumsbetrieb – Securance-iAP auf der Data Center World 2025
ISO 27001 ZertifizierungISO 27001 Zertifizierung durch Wirtschaftsprüfer – gleichwertig zur DAkkS-Zertifizierung
Cybersicherheit nach NIS2Cybersicherheit nach NIS2: Umfassende Handlungsstrategien für betroffene Unternehmen